„A mesterséges intelligencia fejlesztéséhez szükséges adatkezelés során egyre hangsúlyosabbá válik a black box jelenség, amely nemcsak az MI működésének átláthatóságát, hanem a jogszerű adatkezelés biztosításának a kérdését is felveti. A probléma különösen az adatvédelmi szabályozás – így a GDPR és az MI Rendelet – fényében válik kritikussá, hiszen az átláthatóság, a célhoz kötöttség és a jogszerűség követelményei már az MI tanításának korai szakaszában komoly kihívásokat támasztanak.”
Problémafelvetés
Ridley Scott 1982-es filmklasszikusában, a Szárnyas Fejvadászban[1], illetve Philip K. Dick azt ihlető Álmodnak-e az androidok elektronikus bárányokkal című regényében az úgynevezett Void-Kampff teszt szolgál arra, hogy az emberek megkülönböztethetők legyenek a hozzájuk a szinte mindenben hasonlító androidoktól. A tesztet jellemzően a Los Angeles-i rendőrség speciális fejvadászai alkalmazzák és működési elve olyan fiziológiai reakciók – úgymint a pulzus, légzésszám, pupillatágulás, bőrpír – vizsgálatán alapul, amelyeket érzelmileg provokatív kérdések váltanak ki, már ha kiváltanak. Ha nem váltanak ki, az árulkodó jel lehet arra vonatkozóan, hogy a teszt alanya az androidokra jellemző – Philip K. Dick megfogalmazásában – „érzelmi sivárságot” produkálja, azaz felmerül, hogy nem ember.
A Void-Kampff teszt[2] a jelen írás témája szempontjából meglehetősen aktuális, hiszen annak mindkét kulcstémája – a mesterséges intelligencia[3] és az adatvédelem – is megjelenik benne.
Amennyiben ugyanis megvizsgáljuk az Európai Unió Mesterséges Intelligencia Rendeletének (továbbiakban: MI Rendelet) mesterséges intelligencia definícióját[4], úgy nehezen vitatható, hogy ez alapján a Szárnyas Fejvadász androidjai megfelelnek a fogalomnak, hiszen (1) gépi alapú rendszerek – még ha közel tökéletesen keltik is a hús-vér ember illúzióját – amelyek (2) lényegében teljes autonómiával bírnak – a regényben és a filmben jelentős részben pont ez teszi őket fenyegetővé, (3) bemeneti adatokon alapul a működésük, hiszen az emberrel azonos módon, illetve adott esetben nála nagyobb hatásfokkal gyűjtik a fizikai világ ingereit és viselkedésüket ehhez igazítják és (4) valamely, a környezetük befolyásolására alkalmas kimenetet generálnak[5] – az emberrel lényegében azonos módon társalognak, sőt egyikük, a regényben megjelenő Luba Luft komoly operaénekesi karriert is magáénak tudhat; ő, ha úgy tetszik, áriák formájában generálja az output-ot, egészen addig amíg Rick Deckard felügyelő „vissza nem vonja” őt.[6]
Nem kevésbé aktuális a Void-Kampff teszt a személyes adatok védelme szempontjából. Feltételezve, hogy a tesztnek egy olyan alanyt vetnek alá, akiről a teszt alapján végül kiderül, hogy valódi ember, a teszt lényegében egy meglehetősen mélyreható személyiségprofilozást valósít meg, hasonlatosan pl. egy hazugságvizsgálathoz. Az Európai Unió Általános Adatvédelmi Rendelete[7] (továbbiakban: GDPR) és az annak nyomán kialakult hatósági gyakorlat alapján konszenzus mutatkozik abban, hogy az ilyen jellegű adatkezelés csak korlátok között és megfelelő garanciák mellett végezhető jogszerűen, pontosan azért, mert az elemzés során és által a személyiség rejtettebb, szenzitív rétegeibe nyerhet a teszt végrehajtója betekintést.
A filmtörténeti kapcsolódási ponton túl a mesterséges intelligencia és az adatok – valamint ahhoz szükségszerűen kapcsolódva a személyes adatok – témaköre lényegében elválaszthatatlan egymástól már csak azért is, mert bármely mesterséges intelligencia működéséhez adatok szükségesek.[8] Napjaink technológiai trendjei a mesterséges intelligencia további és egyre nagyobb mértékű elterjedése irányába haladnak. Ezzel a tendenciával együtt értelmezendő az Európai Unió azon törekvése, hogy – többek között az MI Rendelet megalkotása útján – olyan szabályozási kereteket adjon a mesterséges intelligencia fejlesztésének és használatának, amelyek nem csak hatékony, de etikus gyakorlatot is biztosítanak.[9]
Fontos kiemelni, hogy az MI Rendeletnek nem célja, hogy befolyásolja a személyes adatok kezelésére vonatkozó meglévő uniós jogszabályok alkalmazását, továbbá nem érinti az MI-rendszerek szolgáltatóinak és alkalmazóinak – adatkezelői vagy adatfeldolgozói szerepkörükben fennálló – a személyes adatok védelmére vonatkozó uniós vagy nemzeti jogból fakadó kötelezettségeit, amennyiben az MI-rendszerek tervezése, fejlesztése vagy használata személyes adatok kezelésével jár.[10]
Azonban az MI Rendelet által a mesterséges intelligencia transzparens tanítása és alkalmazása kapcsán megfogalmazott elvárások szükségessé teszik, hogy annak szabályait ne önmagukban, hanem – többek között – az adatvédelmi jogi és így a GDPR szűrőjén keresztül is értelmezzük, mert adatvédelmi jogi megfelelőség nélkül nehezen képzelhető el az MI Rendeletnek való megfelelés.
A cikksorozat, amelynek a jelen írás az első eleme, nem tesz kísérletet arra, hogy valamennyi felmerülő kérdést megvizsgálja a két terület kapcsán, mert ez sokszorosan meghaladná a műfaj kereteit. Azzal ugyanakkor megpróbálkozik, hogy néhány, a szerző által különösen aktuálisnak gondolt kérdést felvillantson, ideértve egyrészt a mesterséges intelligencia tanításával kapcsolatos adatvédelmi aggályokat, másrészt a már használatban lévő mesterséges intelligencia működésével kapcsolatos, adatkezelőket érintő egyes kihívásokat.[11] Ezeket a témákat mintegy rendezőelvként a transzparencia (átláthatóság) mint az adatvédelemben és az MI tanítása és alkalmazása során is kulcsfontosságú követelmény fogja össze.
A Black box hatás
Frank Herbert klasszikus Dűne regényciklusában az emberiség számára az első számú vallási parancsolat a következőképpen hangzik: „Ne készíts gépezetet az emberi elme hasonlatosságára.”[13] Amennyiben valaki elmélyed a Herbert-i életműben, illetve az azt kibővítő, már a szerző fia által írt regényekben, úgy megismerheti annak az apokaliptikus küzdelemnek a történetét, amelyben az emberiség kivívja szabadságát az őt korábban rabszolgasorban tartó „gondolkodó gépek” és az azokat vezető kollektív mesterséges szuperintelligencia, az Omnius ellen. A konfliktus kezdeti szakaszában ugyanakkor az emberiség sorra veszíti el az ütközeteket, elsősorban azért, mert Omnius minden lehetséges taktikai kimenetelt sokkal pontosabban és gyorsabban felismer, mint a legjobb emberi hadvezérek. Ezt azáltal tudja megtenni, hogy valamennyi korábbi ütközet adatai a rendelkezésére állnak, amelyekből a pillanatnyi szituációból valós időben képes tűpontosan kiszámítani a legideálisabb manővereket, valamint egyidejűleg koordinálni azokat. Hogy pontosan hogyan végzi a háttér-számításokat és miként jut el az adott következtetésre, az viszont az emberiség előtt rejtve marad. Az Omnius legyőzését követő, fent idézett vallási parancsolat megalkotásához jelentős részben pontosan ez a kiismerhetetlenség – és ebből következően kontrollálhatatlanság – vezet.
Az Omnius-jelenség felveti azt a mesterséges intelligencia tanítása és működése során gyakran emlegetett problémát, amelyet „black box”[14] effektusnak szoktunk nevezni. Maga a kifejezés nem újkeletű, rendszerelméleti szempontból lényegében bármilyen készülékre, szisztémára, vagy tárgyra használható, amely bemeneti és kimeneti adatok alapján működik, ugyanakkor a kettő között – tehát a „doboz belsejében” – zajló folyamat, azaz, hogy a bemenetből pontosan hogyan lesz kimenet, nem világos a külső szemlélő számára.[15] A mesterséges intelligencia esetében a fogalom jellemzően azt a sajátosságot jelöli, hogy az MI működése mögött álló algoritmus minden eleme nem ismert, vagy legalábbis nem egyértelmű az emberi felhasználó és esetenként a fejlesztő számára sem, más szóval, nem világos, hogy hogyan és miért jutott a rendszer arra a következtetésre, amire.[16] A jelenséget jól szemlélteti Arthur C. Clarke híres mondása: „Egy kellően fejlett technológia megkülönböztethetetlen a varázslattól.”[17]
A black box értelmezhető adatvédelmi jogi szempontból is, gondoljunk csak az online térben zajló adatkezelések egy jelentős részére, amelyek az érintettek – pl. egy közösségi média platform felhasználói – számára jellemzően nem átláthatók. Jó példa erre a közvetlen üzletszerzési célú online hirdetések esete: ha megkérdeznénk 100 érintettet arról, hogy számukra teljesen transzparens és egyértelmű-e, hogy online tevékenységük alapján a közösségi média profiljukba bejelentkezve miért pont az adott tartalmú hirdetések jelentek meg számukra, ezek pontosan mely adataikon, milyen elemzési metodika és adattovábbítások alapján kerültek kiválasztásra, erős a gyanú, hogy – visszafogott becsléssel – legalább 90-en nemleges választ adnának, feltehetően nem csak a laikusok, de még a technológiával foglalkozó szakemberek körében is.[18]
A black box effektus témánk szempontjából tehát azért bír kiemelt jelentőséggel, mert az nem csak az AI működése, hanem az ahhoz elengedhetetlenül szükséges adatok kezelése kapcsán is megjelenik és akadályt is gördíthet a jogi megfelelés elé. Ez a potenciális akadály fennáll a mesterséges intelligencia életciklusának több szakasza, azaz mind annak tanítása, mind működése során – lényegében mindig, amikor adatok és azon belül személyes adatok használata merül fel. Ezért a black box jelentette nehézségeket az adatvédelmi szabályozás, így különösen az egyértelműség, transzparencia, az adatkezelési célok és jogalapok érvényes meghatározása, valamint a tájékoztatási kötelezettség tükrében érdemes vizsgálni.
Adatvédelmi kihívások a mesterséges intelligencia tanítása során
Az átláthatóság megjelenik mind a GDPR-ban – hiszen a jogszerű adatkezelés egyik alapelvét képezi – mind az MI Rendeletben, amely a következő etikai elveket nevesíti a mesterséges intelligencia megbízhatóságára és etikai megalapozottságára vonatkozóan: emberi cselekvőképesség és felügyelet; műszaki stabilitás és biztonság; a magánélet védelme és adatkormányzás; átláthatóság; sokszínűség, a megkülönböztetés tilalma és méltányosság; társadalmi és környezeti jólét; elszámoltathatóság.
Kijelenthető tehát, hogy az átláthatóság követelménye mindkét szabályozási rendszer szempontjából fundamentális.
Az adatkezelési cél meghatározása
Az adatvédelmi jog rendszerében az érvényes adatkezelési cél meghatározása tekinthető egyfajta alapvetésnek – ha már ez sem sikerül, lényegében garantálható, hogy jogsértő lesz az adatkezelés.
A GDPR követelményei alapján az adatkezelés céljának három kritériumot kell egyidejűleg teljesítenie: meghatározott, egyértelmű és jogszerű. Amennyiben abból indulunk ki, hogy a kezelt személyes adatokat valamely mesterséges intelligencia tanítására kívánjuk felhasználni, akkor látható, hogy a három követelményből valószínűleg mindhárom teljesülése nehézségbe fog ütközni.
A cél meghatározásának fontosságára erősít rá maga az MI Rendelet is, amikor kimondja, hogy „az uniós adatvédelmi jognak, például az (EU) 2016/679 rendeletnek való megfelelés elősegítése érdekében az adatkormányzási és adatgazdálkodási gyakorlatoknak a személyes adatok esetében ki kell terjedniük az adatgyűjtés eredeti céljával kapcsolatos átláthatóságra.”
(A helyes adatkezelési cél meghatározásának persze előkérdése – a GDPR szerinti adatminimalizálás elvével összhangban – annak az adatkörnek a definiálása, amely elengedhetetlenül szükséges a cél – a mesterséges intelligencia tanítása – eléréséhez. Túl széles adatkör esetén ugyanis felmerül az adatvédelmi jogsértés kockázata, túl szűk adatkör esetén pedig az a rizikó áll fenn, hogy a tanítás eredményeként éles üzembe lépő rendszer – a hiányos tanítási adatok miatt – pontatlan vagy hibás kimenetet fog produkálni.)
a) „Meghatározott”
A „meghatározott” feltétel kapcsán a kulcskérdés, hogy az MI tanításához felhasznált személyes adatok vajon csak egy adott tanítási művelethez, vagy a későbbiekben a mesterséges intelligencia folyamatos tanításához, esetleg újabb mesterséges intelligencia megoldások tanításához is felhasználásra kerülnek-e. Ha a digitális gazdaság azon törvényszerűségéből indulunk ki, hogy a felhalmozott adatvagyon jelentős monetáris előnnyé konvertálható[19], úgy feltételezhetjük, hogy az esetek többségében nem egyszeri felhasználásról van szó, amelyet követően az adatokat törlik vagy anonimizálják. Innentől kezdve azonban a cél meghatározása azért nehéz, mert egy jövőbeli, folyamatosan zajló folyamatra kell azt alkalmazni, amelynek egyes elemei – pl. hogy a gyűjtött személyes adatokat milyen fejlesztés keretében, milyen célt szolgáló rendszer létrehozatalára fogják felhasználni, előreláthatólag milyen időtartamú lesz ez a fejlesztés, melyek lesznek a fejlesztendő rendszer főbb sajátosságai – az adatkezelés megkezdésekor lehet, hogy nem is határozhatók meg kellő pontossággal, legalább körülírás szintjén. Az adatkezeléssel érintett személy számára tehát egyáltalán nem lesz magától értetődő, mi, hogyan és miért fog személyes adataival történni az adatkezelés keretében.
b) „Egyértelmű”
Ez a kritérium jelentős mértékű összefüggést mutat az előző pontban írtakkal: ha ugyanis eleve nem teljesül a „meghatározott”, feltétel, akkor szükségszerű, hogy az „egyértelmű” feltétel sem teljesülhet, különösen, ha az egyértelműséget (helyesen) egy laikus érintett szemszögéből ítéljük meg, aki a vonatkozó adatkezelési tájékoztatót olvassa.
A 29. Cikk Szerinti Adatvédelmi Munkacsoport (továbbiakban: 29-es Munkacsoport) az Európai Adatvédelmi Testület által később megerősített iránymutatásában kifejti[20], hogy az átláthatóságnak központi eleme, hogy az érintett előre meg tudja határozni az adatkezelés hatókörét és következményeit, valamint, hogy annak módja a későbbiek folyamán számára ne okozzon meglepetést. Ugyanitt kiemeli, hogy különösen az összetett, technikai vagy váratlan adatkezelés esetében az adatkezelőnek egyértelműen meg kell fogalmaznia, melyek az adatkezelés legfontosabb következményei az érintettre nézve, más szóval, milyen hatással lesz rá az adatkezelési tájékoztatóban leírt műveletsor. Számunkra itt most különösen érdekes, hogy ugyanezen véleményében a következő példákat kifejezetten a rossz tájékoztatási gyakorlat illusztrálására hozza fel: „Személyes adatait új szolgáltatások fejlesztésére használhatjuk., „Személyes adatait kutatási célokra használhatjuk”, illetve „Személyes adatait arra használhatjuk, hogy személyre szabott szolgáltatásokat kínáljunk.” Vonatkozó indokolásában kifejti, hogy miért tekinti helytelennek az ilyen módon megfogalmazott tájékoztatást: azért, mert abból nem világos, hogy pontosan mely szolgáltatásokról, illetve kutatásról van szó, az adatok hogyan segítenek a kutatásban, illetve szolgáltatás fejlesztésében, továbbá az sem, hogy a „személyre szabás” mivel jár.
A nem kellően egyértelmű célmeghatározás az MI tanítása kapcsán tehát könnyen jogsértéshez vezethet.
c) „Jogszerű”
A dilemmát e körben elsődlegesen az okozza, hogy a mesterséges intelligencia tanítása számos különböző jogterületet, illetve ágazati szabályozást érinthet, ebből következően a jogsértés megvalósításának esélye jelentős.
Adatvédelmi értelemben ez azért kockázat, mert még ha feltételezzük is, hogy az adatvédelmi jogi követelmények maradéktalanul teljesülnek az adatok felhasználása során, ha a mesterséges intelligencia tanításáról bebizonyosodik, hogy az jogsértő módon történt – pl. kiderül, hogy annak célja valamely, az MI Rendelet szerinti tilalomba ütközik, mert pl. szubliminiális, manipulatív reklámtartalom létrehozatalára irányul, vagy a Digitális Szolgáltatásokról Szóló Rendelet előírásaival ellentétben kiskorúak részére jelenít meg személyre szabott reklámtartalmakat a profilozásuk alapján – akkor felmerül, hogy a tanítására használt személyes adatok kezelése is önmagában ezen körülmény miatt jogsértő, hiszen az adatkezelés célja eleve nem teljesíti a jogszerűség kritériumát. Releváns kérdés és a szerző álláspontja szerint különös jelentőséggel fog bírni a jövőben – akár jogvitákban is –, hogy amennyiben a személyes adatokkal tanított MI-ről bebizonyosodik, hogy az alkalmazása vagy már eleve a felhasználási célja az adatvédelmi szabályokon kívüli jogszabályokat sért, az mennyiben teszi egyben automatikusan megállapíthatóvá a jogellenes adatkezelést is, és mintegy „magával rántva” az MI tanításának adatkezelési lábát is. Így pl. amennyiben egy mesterséges intelligencia megoldásról annak forgalomba hozatalát követően kiderül, hogy a használata tömegesen sért szellemi tulajdonhoz fűződő jogokat, akkor ez a tanítást mint adatkezelési célt automatikusan szintén jogsértővé teszi? Esetleg bizonyítási és szakértői kérdés lesz, hogy a mesterséges intelligencia tanítása eleve is jogsértő célra irányult, vagy ehhez elegendő az a körülmény, hogy a működése során ténylegesen jogsértés valósul meg, a fejlesztő szándékaitól függetlenül? Mennyiben választható szét ilyen esetekben az adatvédelmi megfelelés és az egyéb jogterületeken megvalósított jogsértés a jogkövetkezmények tekintetében? Több mint valószínű, hogy a bírósági és hatósági gyakorlatra fog hárulni az a feladat, hogy világos kritériumrendszert dolgozzon ki erre vonatkozóan, illetve egyértelművé tegye, hogy a hatályos jogban meglévő felelősségi alakzatok az ilyen helyzetekre pontosan miként alkalmazandók. Annyit azonban már most nagy bizonyossággal előre lehet vetíteni, hogy amennyiben az adatkezelés eszköze (maga az MI rendszer) eleve jogsértőnek minősül, úgy vélhetően maga az adatkezelés sem állhatja ki a jogszerűség próbáját.
A fentiekből látható, hogy önmagában a mesterséges intelligencia tanítására irányuló adatkezelés céljának meghatározása is komoly problémák elé állítja a jogszerűségre törekvő adatkezelőt, ez azonban a nehézségeknek csak az első lépcsőfoka.
A továbbiakkal a cikksorozat következő részében foglalkozunk.
A cikk szerzője dr. Csenterics András LL.M ügyvéd, technológiai jogi szakjogász, a Réti, Várszegi és Társai Ügyvédi Iroda | PwC Legal ügyvédi iroda tagja. A Réti, Várszegi és Társai Ügyvédi Iroda | PwC Legal a jogászvilág.hu szakmai partnere.
dr. Csenterics András kollégánk cikksorozata a Wolters Kluwer Jogászvilág kiadványában jelent meg.
Lábjegyzetek:
[1] Eredeti címén Blade Runner (Warner Bros. 1982)
[2] A Void-Kampff teszt ihletője jelentős részben a valóságban Alan Turing által kidolgozott Turing-teszt, amelynek lényege, hogy a bíráló billentyűzet és monitor használatával kérdéseket tesz fel két alanynak, akiket így se nem láthat, se nem hallhat. A két alany egyike ember, a másik egy gép és mindketten megpróbálják a bírálót meggyőzni arról, hogy gondolkodó emberek. Ha a bíráló öt perces kérdezést követően sem tudja biztosan megállapítani, hogy a két alany közül melyik az ember, akkor a gép sikeresen teljesítette a tesztet.
[3] A cikksorozat az egyszerűség kedvéért a továbbiakban a mesterséges intelligenciára helyenként „MI” rövidítéssel hivatkozik.
[4] AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2024/1689 RENDELETE (2024. június 13.) a mesterséges intelligenciára vonatkozó harmonizált szabályok megállapításáról, valamint a 300/2008/EK, a 167/2013/EU, a 168/2013/EU, az (EU) 2018/858, az (EU) 2018/1139 és az (EU) 2019/2144 rendelet, továbbá a 2014/90/EU, az (EU) 2016/797 és az (EU) 2020/1828 irányelv módosításáról (a mesterséges intelligenciáról szóló rendelet), 3. cikk 1. pont
[5] További kontextus céljából ide kívánkozik az MI Rendelet (12) preambulum bekezdésében foglalt kifejtés egy része: „Az MI-rendszerek alapvető jellemzői közé tartozik a következtetés képessége. A következtetés képessége egyfelől az olyan kimenetek – például előrejelzések, tartalom, ajánlások vagy döntések – előállításának folyamatára utal, amelyek befolyásolni tudnak fizikai és virtuális környezeteket, másfelől pedig az MI-rendszerek azon képességére, hogy bemenetekből vagy adatokból modelleket vagy algoritmusokat – vagy mindkettőt – tudnak levezetni. A következtetést az MI-rendszer egyidejű építésével együtt lehetővé tévő technikák közé tartoznak a gépi tanulási megközelítések, amelyek adatokból tanulják meg, hogy miként lehet elérni bizonyos célkitűzéseket, valamint a logikai és tudásalapú megközelítések, amelyek kódolt ismeretek vagy a megoldandó feladat szimbolikus ábrázolása alapján következtetnek. Valamely MI-rendszer következtetési kapacitása meghaladja az alapvető adatkezelés körét azáltal, hogy lehetővé teszi a tanulást, az érvelést vagy a modellezést. A „gépalapú” kifejezés arra a tényre utal, hogy az MI-rendszerek gépeken futnak. Az explicit vagy implicit célkitűzésekre való hivatkozás kiemeli, hogy az MI-rendszerek explicit módon meghatározott célkitűzések vagy implicit célkitűzések szerint működhetnek. Az MI-rendszer célkitűzései eltérhetnek az MI-rendszer adott konkrét kontextuson belüli rendeltetésétől. E rendelet alkalmazásában a környezetek alatt azok a környezetek értendők, amelyekben az MI-rendszerek működnek, míg az MI-rendszer által generált kimenetek az MI-rendszerek által ellátott különböző funkciókat tükrözik, és előrejelzéseket, tartalmat, ajánlásokat vagy döntéseket foglalnak magukban. Az MI-rendszereket úgy alakították ki, hogy eltérő szintű autonómiával működjenek, ami azt jelenti, hogy tevékenységeiket illetően bizonyos mértékben függetlenek az emberi közreműködéstől és bizonyos mértékben képesek emberi beavatkozás nélkül működni. Az MI-rendszerek a bevezetésüket követően alkalmazkodóképességet tanúsíthatnak, amely a rendszer használat közbeni változását lehetővé tévő öntanulási képességekre utal. Az MI-rendszerek önállóan vagy termék alkotóelemeként használhatók, függetlenül attól, hogy a rendszert fizikailag integrálták-e a termékbe (beágyazott rendszer), vagy hogy anélkül szolgálja-e a termék funkcionalitását, hogy abba beépítenék (nem beágyazott rendszer).”
[6] Mind a film mind a regény eredeti angol verziója a „retire” eufemizmust használja az androidok elpusztítására.
[7] AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet)
[8] „In fact, the processing of personal data (which is often strictly intertwined with non-personal data) along the lifecycle of AI systems ‒ and particularly along the lifecycle of those AI systems presenting a high risk to fundamental rights ‒ clearly is (and will continue to be) a core element of the various technologies covered under the umbrella of the AI definition, as enshrined in Article 3(1) AI Act” Az Európai Adatvédelmi Testület 2024. július 16—án elfogadott állásfoglalása, 4. pont (https://www.edpb.europa.eu/system/files/2024-07/edpb_statement_202403_dpasroleaiact_en.pdf, utoljára letöltve: 2024. szeptember 19.)
[9] „E szabályok megállapításával, valamint az innovációt támogató – a kis- és középvállalkozásokra (kkv-k) és köztük az induló innovatív vállalkozásokra kiemelt hangsúlyt helyező – intézkedések meghatározásával e rendelet egyfelől támogatja azt a célkitűzést, amelynek értelmében elő kell mozdítani a mesterséges intelligencia európai emberközpontú megközelítését, és amelynek értelmében – az Európai Tanács által megállapítottak szerint– az EU-nak globális vezető szerepet kell betöltenie a biztonságos, megbízható és etikus MI fejlesztésében, másfelől pedig biztosítja az etikai elvek védelmét, amint azt az Európai Parlament kifejezetten kérte.” – MI Rendelet Preambulum (8)
[10] MI Rendelet preambulum (10)
[11] A fejlesztés és az élesüzemi szakasz mellett a mesterséges intelligencia esetében beszélhetünk egy harmadik életszakaszról, az élesüzemi használatból való kivezetésről is, amely szintén vethet fel adatvédelmi jogi kérdéseket (pl. adatmegőrzés), ezzel a szakasszal a jelen cikk ugyanakkor nem foglalkozik.
[13] Eredetiben „Thou shalt not make a machine in the image of a man’s mind.” (Frank Herbert: Dune)
[14] A Cambridge szótár szerint: „a system that produces results without the user being able to see or understand how it works” (https://dictionary.cambridge.org/dictionary/english/black-box, utoljára letöltve: 2024. szeptember 20.)
[15] A tudományos irodalomban jellemzően a műszaki és informatikai területen használják a kifejezést, de az nem szükségszerűen korlátozódik ezekre, így pl. jó példa lehet a black box-ra az emberi elme, vagy akár egy emberi közösség szociológiai értelemben vett működése is.
[16] Ebben az írásban terjedelmi korlátok miatt most eltekintünk a black box további lehetséges kategóriáinak a tárgyalásától, mint pl. az ún. erős és gyenge black box. „Strong black boxes are AI with decision-making processes that are entirely opaque to humans. There is no way to determine a) how the AI arrived at a decision or prediction, b) what information is outcome determinative to the AI, or c) to obtain a ranking of the variables processed by the AI in the order of their importance. Importantly, this form of black box cannot even be analyzed ex post by reverse engineering the AI’s outputs. The decision-making process of a weak black box are also opaque to humans. However, unlike the strong black box, weak black boxes can be reverse engineered or probed to determine a loose ranking of the importance of the variables the AI takes into account. This in turn may allow a limited and imprecise ability to predict how the model will make its decisions.” Yavar Bathaee: The Artificial Intelligence Black Box And The Failure Of Intent And Causation” megjelent: Harvard Journal of Law & Technology Volume 31, Number 2 Spring 2018, 891. oldal
[17] Eredetiben: “Any sufficiently advanced technology is indistinguishable from magic.”
[18] „Unfortunately, social media companies are stingy about releasing data and publishing research, especially when the findings might be unwelcome (although notable exceptions exist). The only way to understand what is happening on the platforms is for lawmakers and regulators to require social media companies to release data to independent researchers. In particular, we need access to data on the structures of social media, such as platform features and algorithms, so we can better analyze how they shape the spread of information and affect user behavior.” Renée Diresta, Laura Edelson, Brendan Nyhan & Ethan Zukerman: It’s Time To Open The Black Box of Social Media (https://www.scientificamerican.com/article/its-time-to-open-the-black-box-of-social-media/) utoljára letöltve: 2024. szeptember 20.
[19] „Data valuation has been given increasing thought for the past 20 years. The importance of data as an asset in both the private and public sectors has systematically increased, and organizations are striving to treat it as such. However, this remains a challenge, as data is an intangible asset. Today, there is no standard to measure the value of data. Different approaches include market-based valuation, economic models, and applying dimensions to data.” Mike Fleckenstein, Ali Obaidi, Nektaria Tryfona: A Review of Data Valuation Approaches and Building And Scoring A Data Valuation Model, Harvard Science Review, Issue 5.1 Winter 2023
[20] WP260 rev.01 Iránymutatás az (EU) 2016/679 rendelet szerinti átláthatóságról, elfogadás időpontja: 2017. november 29., a legutóbbi felülvizsgálat és elfogadás időpontja: 2018. április 11., 10. pont