Agentinis dirbtinis intelektas žymi esminį posūkį link autonominių, į tikslą orientuotų sistemų. Šis technologinis proveržis verčia iš naujo pergalvoti, ką reiškia šiuolaikiniai duomenų apsaugą ir asmens privatumą reglamentuojantys principai, pvz., duomenų rinkimas su asmens sutikimu, duomenų panaudojimas konkrečiai apibrėžtiems tikslams, duomenų minimizavimas ir tai, kokius duomenis esame linkę laikyti asmeniniais.
Sveiki atvykę į savarankiškų mašinų (DI agentų) amžių
DI agentai yra autonomiškai veikiančios sistemos, kurios siekdamos apibrėžtų tikslų gali prisitaikyti prie besikeičiančių aplinkybių. Kitaip tariant, DI agentus galime apibūdinti kaip sistemas, išsiskiriančias gebėjimu mokytis iš savo aplinkos, peržiūrėti savo tikslus ir priimti sprendimus su minimalia žmogaus priežiūra bei kontrole.
DI agentai jau įsitvirtina labai skirtinguose sektoriuose – finansų, sveikatos priežiūros, logistikos ir robotikos srityse. DI agentai padeda optimizuoti procesus ir atveria naujas verslo galimybes.
Siekdamos paspartinti šį perėjimą, didžiosios DI sistemas kuriančios įmonės siūlo iš anksto parengtas darbo eigos šablonų sistemas, kurios leidžia automatizuoti sudėtingas veiksmų sekas arba patiems DI sistemų naudotojams kurti individualizuotas agentines architektūras.
Visgi, teisiniu požiūriu, DI agentų integravimas atskleidžia gilią ir vis didėjančią prieštarą tarp DI agentų autonomijos ir nusistovėjusių duomenų ir privatumo apsaugos principų. DI agentų veikimas yra iš esmės nesuderinamas su pamatinėmis duomenų apsaugos teisės aktų (pvz., BDAR ir Kalifornijos CCPA) prielaidomis.
Šią prieštarą geriausiai iliustruoja du pavyzdžiai. Pirma, BDAR įtvirtinta asmeninių ir neasmeninių duomenų sąvoka nebetenka prasmės, mat agentinėms DI sistemoms būtina turėti kuo daugiau duomenų siekiant geriau suprasti veiksmų ir sprendimų priėmimo kontekstą. Antra, pagrindiniai duomenų tvarkymo principai, tokie kaip asmens sutikimas ir tikslo apribojimas, tampa funkciškai pasenę. Taip yra dėl to, jog praktiškai tampa nebeįmanoma iš anksto nustatyti, kokiais tikslais veikia agentinės DI sistemos.
Asmens sutikimas ir nežinomi DI agento ketinimai
Europos pavyzdinis duomenų apsaugos reglamentas (BDAR) grindžiamas siekiu apriboti nekontroliuojamą duomenų rinkimą bei naudojimą. Vienas iš Europos Sąjungos BDAR tikslų – suteikti galimybę vartotojams kontroliuoti savo duomenis ir pažaboti priežiūros kapitalizmo (angl. surveillance capitalism) verslo modelius, kuriais pagrįstas interneto platformų veikimas.
BDAR reikalauja, kad įmonė turėtų teisėtą pagrindą asmens duomenų tvarkymui. BDAR taip pat nustato tvirtas duomenų subjektų apsaugos garantijas, tokias kaip aiškus sutikimas, duomenų tvarkymo tikslo apribojimas ir reikalavimas įmonėms rinkti tik tiek duomenų, kiek būtina tam tikrai paslaugai suteikti.
Pagal šį asmens sutikimo ir duomenų kontrolės modelį Europos vartotojai atsisako absoliutaus privatumo mainais į įvairiomis BDAR įtvirtintomis teisėmis pagrįstą duomenų apsaugos režimą.
Ši sistema remiasi iš esmės statišku duomenų tvarkymo modeliu, kurį įmonė (duomenų valdytojas) iš anksto nurodo: kokie asmeniniai duomenys bus renkami, kaip jie bus naudojami ir kada bus ištrinti. BDAR veikimas pagrįstas prielaida, kad duomenų valdytojai gali aiškiai suformuluoti šiuos atskirus tikslus duomenų subjektams duomenų rinkimo momentu.
DI amžiuje ši prielaida nebetenka prasmės. Agentinės DI sistemos pakerta nusistovėjusius duomenų apsaugos teisės principus. Pirma, autonominės sistemos neturi fiksuoto, iš anksto užprogramuoto veikimo kelio, todėl tradicinės tikslo duomenų panaudojimo ribojimo taisyklės praranda prasmę. DI agentai siekia atvirų tikslų ir dinamiškai generuoja savo tarpinius žingsnius, darbo eigą ir duomenų rinkimo strategiją. Paprastai tariant, tikrieji DI agento ketinimai ir veiksmų trajektorija negali būti žinomi ar numatyti iš anksto.
Šį sisteminį agentinių DI sistemų ketinimų nenuspėjamumą galima iliustruoti keliais pavyzdžiais. Skirtingai nuo ankstesnių duomenų rinkimo priemonių, kurios vykdydavo tiksliai apibrėžtas ir į konkrečius duomenų laukus nukreiptas užduotis, agentiniai duomenų rinkimo robotai veikia autonomiškai, remdamiesi plačiai apibrėžtais tikslais. Pavyzdžiui, „sudaryti regioninių rinkos sentimentų žemėlapį“ arba „rasti 10 populiariausių prekių Amazon platformoje“. DI agentai savarankiškai naršo internete, naudoja adaptyvųjį mašininį mokymąsi veiklos kliūtims įveikti ir dinamiškai sprendžia, kuriais keliais eiti arba kuriuos neindeksuotus duomenis rinkti. Kadangi DI agento duomenų gavimo logika vystosi realiuoju laiku, duomenų valdytojas negali iš anksto žinoti, kokius duomenis ir kokiais tikslais DI agentai renka. Tokioje aplinkoje išankstinės DI agentų deklaracijos apie duomenų rinkimo tikslus tampa teisine fikcija.
Antra, AI agentai nuolat pernaudoja duomenis. Jų pagrindinė vertė slypi gebėjime pritaikyti įgytas žinias įvairiuose, kintančiuose kontekstuose. Pavyzdžiui, DI agentas, turintis prieigą prie asmens biometrinių duomenų iš fizinio aktyvumo sekiklio (Fitbit), iš pradžių gali stebėti žingsnių skaičių, tačiau vėliau gali pradėti daryti išvadas apie prietaiso naudotojo psichikos sveikatos būklę, emocinio perdegimo lygį ar širdies sutrikimus. Nei DI agento kūrėjas, nei prietaiso naudotojas negalėjo tokio rezultato numatyti iš anksto. Taigi, nors tokia duomenų sintezė gali būti laikoma inžineriniu proveržiu, ji taip pat gali reikšti neleistiną tolesnį duomenų tvarkymą, kurio BDAR kaip tik siekė išvengti. Kadangi autonominis DI agentas samprotauja nelinijiniu būdu ir realiuoju laiku, jis negali užduoties vykdymo metu sustoti ir atlikti BDAR 6(4) dalyje numatyto suderinamumo vertinimo prieš pakeisdamas duomenų tvarkymo tikslą.
Kokie duomenys AI agentams yra asmens / ne asmens duomenys?
Autonominių DI sistemų atsiradimas susilpnino tradicinę teisinę ribą tarp asmeninių ir neasmeninių duomenų. Siekdamos personalizuoti ir kontekstualizuoti paslaugas, agentinės DI sistemos reikalauja nuolatinės prieigos prie įvairių duomenų. Agentinės DI sistemos tuos duomenis perkelia į daugiamates vektorines duomenų bazes, pasižyminčias kintančiais matematiniais svoriais (angl. weights). Šiose skaičiavimo matricose kontekstas, aplinkos metaduomenys ir iš pažiūros anoniminiai duomenų taškai tampa itin vertingi. DI agentų medijuojamoje aplinkoje, kurioje konteksto supratimas yra esminė DI veikimo prielaida, asmeninių ir neasmeninių duomenų atskyrimas yra bereikšmis.
Šis architektūrinis poslinkis sukuria tai, ką geriausiai būtų galima apibūdinti kaip individo „amžinąją duomenų dabartį“ (angl. eternal data present).
Ankstesnėse skaitmeninėse ekosistemose asmens duomenys veikė kaip statiškas ir linijinis archyvas. Agentinis DI apverčia šią paradigmą, naudodamas tiek istorinius, tiek nuolat tekančius duomenis kaip gyvąją išteklių bazę, skirtą simuliuoti, prognozuoti ir generuoti realaus laiko įžvalgas bei prognozes.
Todėl duomenų minimizavimo principo įgyvendinimas tokiose sistemose tampa nebeįmanomas, jei visuomenė nori pasinaudoti pagrindinėmis šių DI technologijų duomenų tvarkymo galimybėmis. Galiausiai statiškas, binarinis teisės asmeninių duomenų apibrėžimas turi būti permąstytas ir pritaikytas agentinių technologijų realybei.
Naujos socialinės sutarties poreikis
Šias įtampas dar labiau sustiprina ryški transatlantinė reguliavimo takoskyra. Jungtinės Valstijos teikia pirmenybę inovacijomis grindžiamam modeliui, kuris akcentuoja rinkos dinamiką ir riboja išankstinius technologijų pažangos suvaržymus. Europos Sąjunga, priešingai, laikosi rizikos vengiančio požiūrio, grindžiamo saugumu, skaidrumu ir pamatinių žmogaus teisių apsauga. Tokie teisės aktai kaip DI aktas, Skaitmeninių paslaugų aktas ir Skaitmeninių rinkų aktas nustato reikšmingas dokumentavimo, audito ir stebėsenos pareigas DI kūrimui ir diegimui. Nors šios pareigos gali iš dalies padėti sumažinti agentinių sistemų keliamas rizikas, jos ne iki galo apima aukščiau aprašytą gilesnį pokytį.
Egzistuojančių duomenų apsaugos režimų gynėjai teigia, kad dabartinės reguliavimo sistemos yra pakankamai lanksčios, kad galėtų prisitaikyti prie agentinio DI, jeigu būtų tinkamai taikomos. Šiuo požiūriu duomenų valdytojas, diegiantis bendros paskirties DI agentą, gali įgyvendinti tikslo apribojimo reikalavimą nuo pat pradžių deklaruodamas platų veiklos tikslą. Skeptikai atsako, kad daugelis platformų jau pakeitė savo privatumo politikas taip, kad naudotojų duomenys iš principo (angl. by default) būtų naudojami DI mokymui, dažnai nesuteikiant vartotojams realios galimybės atsisakyti.
Nors agentinis DI destabilizuoja dabartinį teisinio reguliavimo režimą, jis skatina ieškoti išeičių. Normatyviniu požiūriu šis paradigminis pokytis gali būti istorinis lūžio taškas. Tai gali būti proga iš naujo permąstyti nusistovėjusius duomenų apsaugos principus iš trijų perspektyvų.
Pirma, galima svarstyti, ar neatėjo laikas perkelti individą iš pasyvaus duomenų subjekto, pavaldaus visagaliam duomenų valdytojui, statuso. Šiai galimybei įgyvendinti būtina pripažinti, kad visas individo duomenų pėdsakas turi neįkainojamą vertę pačiam individui.
Antra, BDAR taikymas agentinėje aplinkoje reikalauja pereiti nuo statiškos duomenų apsaugos politikos prie dinamiškų, vykdymo metu veikiančių atitikties kontrolės mechanizmų. Toks lankstus ir prisitaikantis DI valdymo modelis yra neišvengiamas.
Trečia, verta ieškoti būdų, kaip integruoti naujas duomenų sistemas, kuriose duomenys iš principo yra privatūs (angl. private by default) ir tvarkomi lokaliai. Atskiriant lokalizuotą duomenų saugojimą nuo išorinio algoritminio ir agentinių sistemų, galima būtų atverti naujas galimybes į šiek tiek labiau į žmogų orientuotą DI ekosistemą.
