Az MI rendelet a gyakorlatban – 3. rész

2025-09-03 #AI ; #aiact ; #AIcompliance ; #AIGovernance ; #AIRegulation ; #digitalcompliance ; #MI ; #MIrendelet ; #predictivepolicing ; #socialscoring ; #tiltottMIgyakorlatok ;

Social scoring és bűnmegelőzési célú rendszerek

Az adatok alapján történő értékelés és rangsorolás, azaz a „scoring” vagy „pontozás” napjaink adatközpontú világában kulcsfontosságú fogalom. Célja, hogy objektív, összehasonlítható eredményt kapjunk egy adott kockázat vagy teljesítmény megítélésére. A pontozást az életünk szinte bármely területén – egy étterem online értékelésétől a munkahelyi teljesítményértékelésen át a hitelképesség minősítés, toborzás, biztosítás, bűnüldözés, sport stb. területig – alkalmazzuk.

A MI-rendszerek szintén kiterjedt adatállományokat elemeznek, értékelnek és ez alapján hozzák meg döntéseiket. Éppen ezért az MI rendelet is kiemelt figyelmet fordít az olyan MI-rendszerekre, amelyek „social scoring”-ot vagy „társadalmi pontozást” valósítanak meg. A társadalmi pontozás kifejezés jogi és társadalomtudományi értelemben kifejezetten a természetes személyeken bizonyos jellemzőik alapján végzett pontozási gyakorlatokat és azok eredményéből történő döntéshozatalt foglalja magában. Ezen túlmenően az MI-rendszerek által megvalósított automatizált pontozási gyakorlatok és így kifejezetten a társadalmi pontozás szorosan összefügg az adatvédelemmel, azon belül is a profilalkotással is – ezért a problémakör megközelítése során érdemes az MI rendelet mellett a GDPR rendelkezéseit is figyelemmel kísérnünk.

A „social score” kifejezést eredetileg kifejezetten olyan MI-rendszerekre használták, amely egy személy „erkölcsiségének”, „integritásának” vagy „megbízhatóságának” felmérését végzi. Az MI rendelet (37) preambulumbekezdése értelmében a társadalmi pontozását végző MI-rendszerek diszkriminatív eredményekhez és bizonyos csoportok kirekesztéséhez vezethetnek, ennélfogva tiltottnak minősülnek. Fontos azonban azt is hangsúlyozni, hogy bár az Európai Unió szigorúbb megközelítést követ egyes, Európán kívüli, és az MI terén szintén élen járó országokhoz képest, az európai uniós jogalkotónak nem célja, hogy minden társadalmi pontozási gyakorlatot tiltson: így például a hitelképesség minősítésben, a biztosítási árazásban vagy a bűnüldözői visszaesői magatartás értékelésére használtak legtöbbször „magas kockázatú” MI-rendszereknek minősülnek (ld. MI rendelet 3. melléklet 5. b) és c) pontjait) – a határvonal meghúzása azonban, tekintettel az MI rendelet tág szövegezésére, sok esetben nehézkes.

Mit is tilalmaz akkor az MI rendelet? Egy társadalmi pontozást megvalósító gyakorlat függetlenül attól, hogy azt közszféra szereplői vagy gazdasági szervezetek szolgáltatja, vagy használja az MI rendelet 5. cikk c) pontja értelmében akkor minősül tiltottnak, ha:

  • egy bizonyos időszakon keresztül természetes személyek vagy személyek csoportjait közösségi magatartásuk, illetve ismert, kikövetkeztetett vagy előre jelzett személyes tulajdonságaik vagy személyiségjegyeik alapján értékelik, osztályozzák
  • oly módon, hogy az hátrányos vagy kedvezőtlen bánásmód vezet
    • attól eltérő szociális kontextusban, amelyben az adatokat eredetileg létrehozták vagy gyűjtötték; vagy
    • amely indokolatlan vagy aránytalan a közösségi magatartásukhoz, vagy annak súlyosságához képest.

Az (i) definíciós elem önmagában kellően összetett, ezért érdemes annak elemeit külön elemezni. A vizsgált tiltott gyakorlat megvalósításához szükséges, hogy az MI-rendszer valamilyen értékelést vagy osztályozást végezzen. Az MI rendelet 5. cikk c) pontjában meghatározott tilalom több szempontból hasonlóságot mutat a GDPR 22. cikkében meghatározott automatizált döntéshozatal főszabály szerinti tilalmával – ezért mind az azzal kapcsolatos Európai Unió Bírósága (EUB) által elbírált ügyekben foglalt megállapításokat (így különösen SCHUFA Holding AG ügyet), mind egyéb dokumentumokat (pl. a 29. sz. adatvédelmi munkacsoport vonatkozó iránymutatását) érdemes figyelembe vennünk egy ilyen gyakorlat elemzésekor. Az értékelés a profilalkotás fogalmával mutat hasonlóságot: míg előbbi feltételezi valamiféle elemzés, vagy minősítés alkalmazását, utóbbi ennél egy fokkal speciálisabb, ugyanis az adatok oly szempontú felhasználását jelenti, amelynek célja természetes személyek meghatározott jellemzők mentén történő értékelésének végrehajtása, és a várható viselkedésükre, teljesítményükre vonatkozó előrejelzések kialakítása. Ennélfogva amennyiben a GDPR fogalomhasználata szerint profilalkotásra kerül sor egy MI-rendszer által, csengeni kell a vészharangnak, ugyanis egy ilyen technika könnyen tiltottnak minősülhet. Sőt, az MI rendelet már az osztályozást is tilalmazza, amely még tágabb fogalom. Fontos az is, hogy meghatározott időn keresztül fennálljon ezen tevékenység, azaz, ne csak egy speciális, egyszeri előfordulási esetről legyen szó.

Amely azonban a legérdekesebb és leginkább kitágítja az 5. cikk (1) bekezdés c) pontjának alkalmazhatóságát az a közösségi magatartás, személyiségjegy, személyes tulajdonság hármas fogalma – vagyis pontosan a fogalommeghatározás hiánya. A közösségi magatartás minden olyan esetben értelmezhető, amikor az egyén kapcsolatba lép a környezetével: akár privát (pl. koncertek, sportesemények, baráti találkozás), üzleti (pl. tartozunk-e valakinek) vagy hivatalos (pl. megsértettem-e az adott jogszabályt) kontextusban. A személyes tulajdonságok a nemtől kezdve a gyakorolt foglalkozáson keresztül az egészségügyi adatokig mindent felölelhetnek, a személyiségjegyek szintúgy rengeteg különféle tulajdonságon alapulhatnak. Emellett nem csak az ismert, hanem az MI-rendszer által kikövetkeztetett vagy előre jelzett személyes tulajdonságok, vagy személyiségjegyek is képezhetik az értékelés alapját. Bár a fenti jellemzők számos esetben személyes adatnak is minősülnek, az MI rendelet nem követeli meg az adott természetes személy azonosíthatóságát (azért sem, mert nem csak konkrét, azonosított vagy azonosítható természetes személyek, hanem természetes személyek csoportjaira nézve is releváns az idézett szabálya), amely tovább tágítja ezen tényezők értelmezési keretét. Ugyanakkor a „természetes személyek vagy azok csoportja” kitétel szűkíti is a tilalom alkalmazhatóságát: így például, ha a bankszektorban a hitelképesség vizsgálatára alkalmazott pontozási technika egy jogi személyt (pl. valamely köztartozással bíró gazdasági társaságot) vagy egyéb szervezetet érint, az nem fog tiltott gyakorlatnak minősülni.

Az alkalmazott technikák egészen addig, amíg nem vezetnek valamilyen hátrányos vagy kedvezőtlen bánásmódhoz, nem lesznek tilalmazottak. Azaz az kell, hogy a pontszám az eltérő bánásmód kiváltó oka legyen. Az MI rendelet itt ugyancsak tág megközelítést alkalmaz, ugyanis nem kívánja meg annak bekövetkezését, csak azt, hogy az MI rendszer képes vagy szándékolt legyen ilyen eredmény elérésére. A hátrányos vagy kedvezőtlen bánásmód akkor esik a tilalom hatálya alá, ha az a pontszám alapján olyan társadalmi kontextusban történik, amely nem kapcsolódik ahhoz a helyzethez, ahol az adatokat eredetileg gyűjtötték, vagy ha az intézkedés indokolatlanul vagy aránytalanul súlyos a társadalmi magatartás súlyosságához képest. Előbbire példa, ha az adóhatóság az adóbevallások ellenőrzésre történő kiválasztása során olyan MI-alapú eszközt használ, hogy a releváns adatokon (pl. jövedelem, vagyon, korábbi adózói magatartás) túlmenően teljesen irreleváns információkat – például a magánéleti szokásokból vagy internetes tevékenységből kinyert adatokat – is figyelembe vesz, és ezek alapján egyes személyeket indokolatlanul hátrányos helyzetbe hozva választ ki ellenőrzésre, akkor az a gyakorlat a tilalomba ütközik. Utóbbi példa, ha az önkormányzat, amely MI-rendszert használ a lakosok megbízhatóságának pontozására, és a kapott alacsony pontszám alapján kizárja őket bizonyos közszolgáltatásokból vagy támogatásokból, miközben a pontszámot olyan jelentéktelen vagy irreleváns tényezők is befolyásolják, mint például a könyvtári könyvek késedelmes visszavitele vagy a szemét nem megfelelő időben történő kihelyezése. Természetesen a két tilalom egyszerre is megvalósulhat, amerre kiváló példa azon egy olyan átfogó, kormányzat által működtetett megfigyelőrendszer, amely a polgárok viselkedését különböző életterületeken (például közösségi média aktivitás, vásárlási szokások, számlafizetési pontosság) folyamatosan figyeli és pontozza, egy bizonyos pontszám alatti személyek pedig nem vállalhatnak munkát az országban – itt egyfelől a „túlterjeszkedő” felhasználás (pl. munkavállalást a közösségi média aktivitás alapján engedélyezi), és az aránytalanság (pl. egy számla befizetésének késedelme miatt kitoloncolás járhat) is megjelenik. A tilalom akkor is érvényes, ha a pontszámot más szervezet állítja elő, mint amelyik felhasználja azt, illetve, ha a döntésben emberi értékelés is szerepet játszik – ha azonban az emberi tényező alapvető fontosságú, az ember önálló döntési hatáskörrel bír, az MI által generált társadalmi pontszám nem meghatározó tényező a végső döntésben, és ezáltal képes is arra, hogy az aránytalanságot ellensúlyozza, lehetséges, hogy nem minősül tiltott gyakorlatnak a megoldás.

Természetesen a fentiek fennállása esetén is akadnak kivételek a tilalom alól. Természetes személyek értékelése uniós vagy nemzeti joggal kompatibilis módon, jogszerűen, egy konkrét cél elérése érdekében és arányos eszközökkel is megvalósulhat, így nem tekinthető tiltott gyakorlatnak az olyan célzott kereskedelmi reklámozási gyakorlatok, amelyek releváns adatokon (pl. a felhasználók prefenciáin) alapulnak, és a fogyasztóvédelmi, adatvédelmi és digitális szolgáltatásokra vonatkozó releváns joganyaggal összhangban működnek, illetőleg nem eredményeznek olyan végkimenetelt, amely aránytalanul hátrányosan érint egy felhasználót. Az MI rendelet szabályait nem önmagukban, hanem a tágabb jogi kontextusban, így a meglévő, jelen esetben a GDPR mellett az Európai Bizottság tiltott gyakorlatokról szóló iránymutatása által is hangsúlyozott módon az uniós, valamint nemzeti fogyasztóvédelmi, reklámjogi, korrupció- és terrorizmusfinanszírozás ellenes jogszabályok figyelembevételével kell értelmezni és ez alapján a tervezett megoldás jogszerűségét értékelni. Ettől függetlenül, ahogy a fentiekben is jeleztük, az ilyesfajta rendszerek nagy valószínűséggel „nagy kockázatú”-nak fognak minősülni és az MI rendelet kiterjedt követelményrendszerét is magukkal vonják.

A „social scoring” mellett az MI rendelet 5. cikk (1) bekezdés d) pontja kifejezetten tiltja olyan MI-rendszereket, amelyek kizárólag profilalkotás vagy személyiségjegyek, illetve jellemzők értékelése alapján becsülik meg vagy jósolják meg egy természetes személy bűncselekmény elkövetésének kockázatát. A tilalom célja, hogy megakadályozza, hogy embereket pusztán előrejelzések, sztereotípiák vagy múltbeli jellemzők alapján érjen hátrány – ez ugyanis aláássa az ártatlanság vélelmét. Hasonlóan, mint a társadalmi pontozásnál a d) pont szerinti esetkört megvalósító MI-rendszerek használata is tilos, függetlenül attól, hogy azt rendvédelmi szerv, uniós intézmény vagy gazdasági szereplő szolgáltatja (tehát pl. egy állami szerv számára fejleszti és bocsátja rendelkezésre) vagy alkalmazza. A tilalom azokra az esetekre is irányadó, amikor egy gazdasági szereplő az MI-rendszerrel azért értékeli, illetve jósolja meg egy adott személy általi bűncselekmény elkövetésének kockázatát, mert ez objektíven szükséges egy őt terhelő olyan jogi kötelezettség teljesítéséhez, amely előírja számukra bizonyos bűncselekmények (pl.  pénzmosás, terrorizmus finanszírozása) elkövetésének kockázatának értékelését vagy előrejelzését. A tilalom kizárólag bűncselekmények előrejelzésére vonatkozik, így adminisztratív szankciók (pl. hulladékgazdálkodási bírság, adóbírság), szabálysértések esetében nem alkalmazandó. Ugyanígy ezen tilalom is természetes személyek elemzését érinti: tehát az nem tilalmazott, ha arra használ az adóhatóság egy MI-rendszert, hogy nagy mennyiségű adatot elemezzen egy adott vállalat által végrehajtott tranzakcióiról, adóbevallásokról és vámadatokról annak felmérése érdekében, hogy egy vállalat bűncselekménynek minősülő adó- vagy vámcsalást követ-e el. A tilalom továbbá nem vonatkozik azokra az MI-rendszerekre, amelyek emberi döntéshozatalt támogatnak, feltéve, hogy a döntés már olyan objektív, ellenőrizhető tényeken – bizonyítékokon – alapul, amelyek közvetlenül kapcsolódnak egy konkrét bűncselekményhez. Így amennyiben például a rendőrség egy fegyveres rablás ügyében már rendelkezik kamerafelvételekkel és tanúvallomásokkal, az MI-rendszer segíthet ezek elemzésében, de a döntés a gyanúsított további vizsgálatáról vagy letartóztatásáról az emberi szakértő által, a konkrét bizonyítékok alapján születhet csak meg.

Az MI rendeletnek tehát célja minden pontozási gyakorlatot tiltani, a jogszerű, az arányos és releváns adatokon alapuló értékelési rendszerek továbbra is megengedettek. Az európai uniós jogalkotó célja, hogy a diszkriminatív, igazságtalan vagy aránytalan következményekkel járó rendszereket tilalmazza. A társadalmi pontozási gyakorlatokat megvalósító MI rendszerekkel kapcsolatosan pedig mindig érdemes szem előtt tartanunk azt, hogy a társadalmi pontozás a profilalkotással szorosan összefügg, ezért minden ilyen rendszer szolgáltatásakor vagy alkalmazásakor a GDPR és az MI-rendelet szabályait, valamint egyéb szektorális jogszabályokat egyaránt figyelembe kell venni.

dr. Kovács Ábel Bulcsú, ügyvédjelölt

Amennyiben a fentiekkel kapcsolatban bármilyen kérdése merülne fel, kérjük, forduljon szokásos kapcsolattartó partneréhez, illetve dr. Dékány Csilla (e-mail: csilla.dekany@pwc.com) szenior irodai tag, ügyvédhez vagy dr. Csenterics András (e-mail: andras.csenterics@pwc.com) irodai tag, ügyvédhez.

Megosztás