Evropská unie připravuje zásadní revizi pravidel ochrany osobních údajů prostřednictvím tzv. Digitálního omnibusu. Hlavním důvodem jsou technologické změny posledních let, zejména bouřlivý rozvoj umělé inteligence. Zatímco firmy volají po uvolnění pravidel, ochránci soukromí bijí na poplach. Co přesně se má změnit a jaký dopad to bude mít na běžné uživatele internetu?
Obecné nařízení o ochraně osobních údajů (GDPR) platí od 25. května 2018. Za tu dobu se svět digitálních technologií posunul mílovými kroky dopředu. Největší revoluci přinesly systémy generativní umělé inteligence, které dokážou vytvářet texty, obrázky či videa na základě obrovských objemů trénovacích dat.
Právě tato skutečnost staví evropské zákonodárce před nelehký úkol. Na jedné straně stojí technologické giganty, které argumentují nutností flexibilnějších pravidel pro rozvoj AI. Na druhé straně jsou organizace hájící práva občanů, které varují před zneužitím osobních informací.
Kde leží hlavní problém současné úpravy
Když tvůrci GDPR před lety psali text nařízení, nikdo netušil, jak rychle se umělá inteligence stane součástí každodenního života. Dnešní AI modely potřebují k učení enormní množství dat, mezi nimiž se často nacházejí i osobní údaje lidí.
Podle stávajících pravidel musí firma získat souhlas člověka, pokud chce jeho data použít. Při tréninku AI modelů je ale prakticky nemožné získat souhlas od miliard lidí, jejichž informace se v trénovacích datasetech objevují. Vzniká tak patová situace, která brzdí vývoj evropských AI systémů.
Technologické společnosti proto lobbují za změnu pravidel. Argumentují tím, že bez přístupu k dostatečnému množství dat nemohou konkurovat americkým nebo čínským firmám. Evropa podle nich riskuje, že v oblasti umělé inteligence definitivně zaostane.
Co konkrétně navrhují změnit
Hlavní spornou oblastí je právní základ pro zpracování osobních údajů při tréninku AI modelů. Současná legislativa nabízí několik možností, jak data legálně zpracovávat – od souhlasu přes oprávněný zájem až po plnění právní povinnosti.
Firmy požadují rozšíření kategorie oprávněného zájmu, která by jim umožnila používat veřejně dostupná data bez nutnosti získávat individuální souhlas. Zároveň chtějí jasněji definovat, co přesně se považuje za veřejně dostupné informace.
Nemůžeme žádat souhlas od každého člověka, jehož fotka se objeví na internetu. To by znamenalo konec jakéhokoliv smysluplného vývoje AI v Evropě.
Další navrhovanou změnou je úprava práva na výmaz údajů. V současnosti může každý požádat o smazání svých osobních dat z databází firem. V případě AI modelů je však technicky velmi složité nebo nemožné vymazat konkrétní informace z již natrénovaného systému, aniž by se musel celý model přetrénovat od začátku.
Diskutuje se také o tom, jak upravit pravidla pro anonymizaci dat. Firmy tvrdí, že pokud údaje dostatečně anonymizují, neměla by se na ně vztahovat ochrana podle GDPR. Kritici ale upozorňují, že moderní technologie dokážou i zdánlivě anonymní data znovu propojit s konkrétními osobami.
Proč ochránci soukromí bijí na poplach
Organizace zaměřené na ochranu digitálních práv vidí v navrhovaných změnách zásadní ohrožení soukromí občanů. Jejich hlavní obavou je, že uvolnění pravidel povede k nekontrolovanému sběru a využívání osobních informací.
Poukazují na to, že mnoho údajů, které firmy označují za veřejně dostupné, lidé nikdy nesdíleli s úmyslem sloužit k tréninku komerčních AI systémů. Typickým příkladem jsou fotografie na sociálních sítích nebo příspěvky na diskusních fórech.
Další problém představuje transparentnost. Zatímco u klasických databází lze relativně snadno zjistit, jaké údaje firma o vás má, u AI modelů je to mnohem složitější. Model sice neobsahuje vaše data v původní podobě, ale naučil se z nich a může je různými způsoby reprodukovat.
Rizika podle kritiků zahrnují:
- Ztrátu kontroly nad vlastními daty
- Nemožnost ověřit, jak firma údaje skutečně používá
- Diskriminaci založenou na zkreslených trénovacích datech
- Vytváření deepfake videí bez souhlasu dotčených osob
- Zneužití biometrických údajů
Zvláštní pozornost věnují ochránci práv také citlivým kategoriím údajů. GDPR dnes výrazně omezuje zpracování informací o zdravotním stavu, sexuální orientaci nebo politických názorech. Pokud by se pravidla uvolnila, mohly by tyto citlivé údaje skončit v trénovacích datasetech bez vědomí dotčených lidí.
Jak to vidí běžní uživatelé
Průzkumy veřejného mínění ukazují, že většina Evropanů si cení ochrany svého soukromí. Současně však mnoho lidí nerozumí tomu, jak přesně firmy jejich data využívají a jaká mají práva.
Když jsem zjistil, že moje fotky z Instagramu mohly sloužit k tréninku nějaké AI, byl jsem v šoku. Nikdy bych s tím nesouhlasil, ale nevím, jak tomu zabránit.
Právě tato nejistota je jedním z hlavních argumentů pro zachování přísných pravidel. Lidé by měli mít jasnou představu o tom, co se s jejich informacemi děje, a měli by mít možnost rozhodnout se, zda s tím souhlasí nebo ne.
Na druhou stranu část veřejnosti argumentuje, že přehnaná ochrana dat brzdí technologický pokrok. Podle tohoto názoru by Evropa neměla riskovat, že zaostane za Spojenými státy nebo Čínou kvůli příliš rigidním pravidlům.
Co říká současná praxe dozorových úřadů
Národní úřady pro ochranu osobních údajů se už nyní potýkají s případy, kdy firmy používají data k tréninku AI bez jasného právního základu. Několik velkých technologických společností čelilo pokutám nebo muselo změnit své praktiky.
Problémem je, že výklad současných pravidel se v jednotlivých členských státech liší. Zatímco některé úřady zaujímají benevolentnější přístup, jiné postupují velmi přísně. To vytváří právní nejistotu pro firmy působící v celé EU.
Dozorové orgány zároveň upozorňují, že nemají dostatečné technické kapacity pro kontrolu složitých AI systémů. Zatímco u klasických databází dokážou snadno ověřit, jaké údaje obsahují, v případě natrénovaných modelů je to mnohem komplikovanější.
Jaký je reálný dopad na konkurenceschopnost
Firmy tvrdí, že přísná pravidla GDPR je staví do nevýhodné pozice vůči konkurentům mimo EU. Americké nebo čínské společnosti prý mohou volně využívat obrovské množství dat bez obdobných omezení.
Tato argumentace má své opodstatnění, ale není úplně přesná. Ani ve Spojených státech nemají firmy absolutní volnost v nakládání s osobními údaji. Existují jak federální zákony, tak státní regulace, které ochranu dat upravují. Nejsou sice tak přísné jako GDPR, ale nejde o naprostou absenci pravidel.
Navíc někteří experti namítají, že kvalita dat je důležitější než jejich množství. Evropské firmy by měly podle nich sázet na pečlivě kurátorované datasety a etický přístup k AI, což může být konkurenční výhodou.
Otázkou zůstává, zda uvolnění pravidel opravdu povede k posílení evropského AI průmyslu. Kritici poukazují na to, že hlavním problémem není regulace, ale nedostatek investic a kvalifikovaných odborníků.
Co bude následovat
Legislativní proces v EU je dlouhý a složitý. Než dojde k jakýmkoli změnám GDPR, musí najít shodu Evropská komise, Evropský parlament a Rada EU. Každá z těchto institucí má své priority a představy o podobě budoucí regulace.
Paralelně s revizí GDPR probíhá také implementace nového nařízení o umělé inteligenci (AI Act), které má specificky upravit pravidla pro vývoj a nasazování AI systémů. Obě regulace se budou muset vzájemně doplňovat a nesmí si odporovat.
Realisticky lze očekávat, že k nějakým změnám dojde, ale pravděpodobně půjde o kompromis mezi požadavky technologických firem a obavami ochránců soukromí. Úplné uvolnění pravidel je vzhledem k postoji Evropského parlamentu nepravděpodobné.
Důležité bude také to, jak budou nová pravidla vymáhat dozorové úřady. I sebedokonalejší legislativa je bezcenná, pokud neexistuje účinný mechanismus kontroly a sankcionování porušení.