แนวทาง ICO ใหม่สำหรับการปฏิบัติตามความเป็นส่วนตัวของข้อมูล AI และ PII

วิธีรวบรวมข้อมูล AI อย่างถูกกฎหมาย

คำแนะนำของ ICO ยอมรับว่าในขณะที่การใช้ AI มีข้อดีที่ไม่อาจปฏิเสธได้ มันยังสามารถเป็นอันตรายต่อเสรีภาพและสิทธิของผู้คนได้ หากการปกป้องข้อมูลไม่ได้รับการดูแลอย่างจริงจัง ด้วยเหตุนี้ คำแนะนำของพวกเขาจึงให้กรอบการทำงานที่มีประโยชน์สำหรับวิธีที่องค์กรควรประเมินและลดความเสี่ยงเหล่านี้

คู่มือนี้ครอบคลุมองค์ประกอบเชิงกลยุทธ์ 8 ประการที่ธุรกิจสามารถนำไปใช้เพื่อปรับปรุงวิธีการจัดการกับ AI และข้อมูลส่วนบุคคล:

1. ใช้ขั้นตอนตามความเสี่ยงเมื่อสร้างและนำ AI ไปใช้งาน

เมื่อใช้ AI คุณควรพิจารณาว่าจำเป็นสำหรับสถานการณ์หรือไม่ โดยทั่วไปแล้ว AI ถือเป็นเทคโนโลยีที่มีความเสี่ยงสูงเมื่อโต้ตอบกับข้อมูลส่วนบุคคล บริษัทต้องการข้อมูลจำนวนมากเพื่อปรับปรุงระบบให้ทำงานได้อย่างถูกต้อง และข้อมูลของเราอาจถูกขายต่อโดยไม่รู้ว่าใครเป็นผู้ได้รับข้อมูลหรือนำไปใช้อย่างไร

ดังนั้นจึงอาจมีสิ่งทดแทนที่มีประสิทธิภาพและรักษาความเป็นส่วนตัวมากกว่า

ตามที่ ICO ระบุไว้ คุณต้องประเมินความเสี่ยงและวางมาตรการป้องกันทางองค์กรและทางเทคนิคที่จำเป็นเพื่อลดความเสี่ยงเหล่านั้น ตามความเป็นจริงแล้ว เป็นไปไม่ได้เลยที่จะกำจัดความเสี่ยงทั้งหมด และกฎหมายคุ้มครองข้อมูลไม่ได้บังคับให้คุณทำเช่นนั้น แต่คุณต้องแน่ใจว่าคุณ:

• ใช้การประเมินผลกระทบต่อการปกป้องข้อมูล (DPIA) เพื่อกำหนดและลดความเสี่ยงของการไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลที่คุณใช้ AI รวมถึงป้องกันอันตรายต่อบุคคล
• ขอความคิดเห็นจากหลายๆ กลุ่มที่การใช้ AI ของคุณอาจส่งผลกระทบ เพื่อให้เข้าใจถึงอันตรายได้ดียิ่งขึ้น

เมื่อกฎหมายกำหนด DPIA คุณต้องดำเนินการก่อนที่จะปรับใช้ระบบ AI และแนะนำการป้องกันเชิงองค์กรและทางเทคนิคที่เหมาะสมซึ่งจะช่วยลดหรือจัดการความเสี่ยงที่คุณพบ ก่อนที่การประมวลผลใดๆ จะเกิดขึ้น คุณจะต้องพูดทางกฎหมายกับ ICO หากคุณระบุความเสี่ยงที่คุณไม่สามารถบรรเทาได้อย่างเพียงพอ

2. พิจารณาว่าคุณจะอธิบายการตัดสินใจของระบบ AI ของคุณแก่ผู้ที่จะได้รับผลกระทบอย่างไร

ตาม ICO อาจเป็นเรื่องยากที่จะอธิบายว่า AI สร้างการตัดสินใจและผลลัพธ์บางอย่างได้อย่างไร โดยเฉพาะอย่างยิ่งเมื่อพูดถึงการเรียนรู้ด้วยเครื่องและอัลกอริทึมที่ซับซ้อน แต่นั่นไม่ได้หมายความว่าคุณไม่ควรให้คำอธิบายแก่ผู้คน

นี่คือสิ่งที่ ICO แนะนำ:

• มีความชัดเจน เปิดเผย และโปร่งใสกับผู้คนเกี่ยวกับวิธีการและเหตุผลที่คุณรวบรวมและใช้ข้อมูลส่วนบุคคลของพวกเขา
• ลองนึกถึงเหตุผลที่จำเป็นในสภาพแวดล้อมที่จะใช้ระบบ AI ของคุณ
• พิจารณาว่าผู้คนมีแนวโน้มที่จะเข้าใจคำอธิบายของคุณอย่างไร
• วิเคราะห์ผลกระทบที่เป็นไปได้ของตัวเลือกระบบ AI ของคุณเพื่อพิจารณาว่าเหตุผลของคุณควรละเอียดถี่ถ้วนเพียงใด
• พิจารณาว่าจะจัดการคำขอสิทธิ์ส่วนบุคคลอย่างไร

3. รวบรวมข้อมูลที่จำเป็นในการสร้างระบบ AI ของคุณเท่านั้น

ICO แนะนำให้จำกัดการรวบรวมข้อมูลทุกครั้งที่ทำได้ นี่ไม่ได้หมายความว่าไม่สามารถรวบรวมข้อมูลได้ แต่หมายความว่าข้อมูลจะได้รับการจัดการในลักษณะที่ตรงตามมาตรฐาน GDPR เท่านั้น

คุณควร:

• ตรวจสอบให้แน่ใจว่าข้อมูลส่วนบุคคลที่คุณใช้นั้นถูกต้อง เพียงพอ เกี่ยวข้อง และจำกัด ซึ่งจะแตกต่างกันไปตามบริบทที่คุณใช้ AI
• ลองนึกถึงวิธีการรักษาความเป็นส่วนตัวที่เหมาะกับสถานการณ์ที่คุณใช้ AI เพื่อประมวลผลข้อมูลส่วนบุคคล

หลักความถูกต้องในการปกป้องข้อมูลไม่จำเป็นต้องใช้ระบบ AI เพื่อให้ถูกต้อง 100% องค์กรควรตรวจสอบให้แน่ใจว่ามีขั้นตอนในการรับประกันความยุติธรรมและความถูกต้องโดยรวมของผลลัพธ์

4. ป้ายชื่อความเสี่ยงของอคติและการเลือกปฏิบัติในระยะเริ่มต้น

มีหลายวิธีที่ระบบ AI สามารถมีอคติหรือนำไปสู่การเลือกปฏิบัติได้ สิ่งนี้สามารถสร้างชุดข้อมูลที่ไม่ถูกต้องและไม่สมดุลได้ และการแก้ไขปัญหานี้ตั้งแต่เนิ่นๆ เป็นส่วนสำคัญของการปฏิบัติตามข้อกำหนดความเป็นส่วนตัวของข้อมูล

ICO ขอแนะนำให้คุณ:

• พิจารณาว่าข้อมูลที่คุณรวบรวมนั้นถูกต้อง เป็นตัวแทน เชื่อถือได้ มีความเกี่ยวข้อง และเป็นปัจจุบันสำหรับชุมชนหรือกลุ่มบุคคลที่ได้รับผลกระทบจากระบบ AI หรือไม่
• พิจารณาว่าการตัดสินโดยระบบ AI นั้นยอมรับได้หรือไม่โดยการทำแผนที่ความหมายและผลลัพธ์ที่อาจเกิดขึ้นสำหรับกลุ่มต่างๆ

5. ลงทุนเวลาและทรัพยากรในการเตรียมข้อมูลอย่างเหมาะสม

ดังที่ได้กล่าวไปแล้ว AI มีความน่าเชื่อถือเท่ากับข้อมูลที่เก็บรวบรวมเท่านั้น ดังนั้น องค์กรจำเป็นต้องตรวจสอบให้แน่ใจว่าได้ทุ่มเททรัพยากรและเวลาให้เพียงพอในการรวบรวมข้อมูลที่จำเป็น

ICO แนะนำว่า:

• เมื่อพูดถึงการติดฉลากข้อมูลที่เกี่ยวข้องกับลักษณะที่ได้รับการคุ้มครองหรือข้อมูลหมวดหมู่พิเศษ ควรมีการกำหนดเกณฑ์และบรรทัดความรับผิดชอบ
• เพื่อรักษาความสอดคล้องและช่วยเหลือในสถานการณ์ที่ไม่ปกติ คุณควรให้ผู้ติดฉลากหลายคนมีส่วนร่วม

6. ตรวจสอบให้แน่ใจว่าระบบ AI ของคุณปลอดภัย

ระบบ AI มีศักยภาพในการเพิ่มความเสี่ยงหรือทำให้เกิดช่องโหว่ด้านความปลอดภัยใหม่ๆ

เมื่อพูดถึงมาตรการรักษาความปลอดภัย ไม่มีวิธีใดที่เหมาะกับทุกขนาด อย่างไรก็ตาม คุณต้องปฏิบัติตามกฎหมายและวางมาตรการป้องกันเชิงองค์กรและทางเทคนิคที่เหมาะสม เพื่อให้ระดับความปลอดภัยเป็นสัดส่วนกับความเสี่ยงใดๆ ที่ระบุ

ICO แนะนำให้ธุรกิจ:

• ทำการประเมินความเสี่ยงด้านความปลอดภัยที่มีรายการปัจจุบันของระบบ AI ทั้งหมด เพื่อให้คุณได้รับแนวคิดทั่วไปว่าเหตุการณ์ที่อาจเกิดขึ้นอาจเกิดขึ้นที่ใด
• ทำการดีบักโมเดล ซึ่งเป็นกระบวนการระบุและแก้ไขข้อบกพร่องในโมเดลของคุณ โดยผู้ตรวจสอบความปลอดภัยภายในหรือผู้ตรวจสอบความปลอดภัยภายนอก
• ใช้ระบบติดตามเชิงรุกและสอดส่องสิ่งผิดปกติ

7. การทบทวนการตัดสินใจของ AI โดยมนุษย์ควรมีความหมาย

ควรพิจารณาตั้งแต่เนิ่นๆ ว่าผลลัพธ์จะถูกใช้เพื่อช่วยผู้มีอำนาจตัดสินใจของมนุษย์ หรือการตัดสินใจนั้นเป็นอิสระอย่างเต็มที่หรือไม่ ขึ้นอยู่กับเป้าหมายของ AI

ICO เน้นย้ำว่าเจ้าของข้อมูลมีสิทธิ์ที่จะรู้ว่าตัวเลือกที่เกี่ยวข้องกับข้อมูลนั้นทำขึ้นเองทั้งหมดหรือด้วยความช่วยเหลือของ AI หลักเกณฑ์ยังแนะนำว่าควรได้รับการประเมินอย่างมีความหมายเมื่อนำไปใช้เพื่อช่วยเหลือบุคคล

เพื่อให้แน่ใจว่าบทวิจารณ์เหล่านี้มีความหมาย ผู้วิจารณ์ควรเป็น:

• มีทักษะเพียงพอที่จะประเมินและตั้งคำถามเกี่ยวกับผลลัพธ์ของระบบ AI
• สามารถคว่ำการตัดสินอัตโนมัติได้
• ตระหนักถึงปัจจัยเพิ่มเติมที่ไม่ได้สะท้อนอยู่ในข้อมูลอินพุต

เมื่อการตัดสินใจมีผลกระทบทางกฎหมายหรือผลกระทบที่สำคัญอื่นๆ เจ้าของข้อมูลมีสิทธิ์ภายใต้ GDPR ที่จะไม่อยู่ภายใต้บังคับ พวกเขายังมีสิทธิ์ที่จะคาดหวังข้อมูลที่มีความหมายเกี่ยวกับเหตุผลที่อยู่เบื้องหลังการตัดสินใจ

ด้วยเหตุนี้ แม้ว่าจะได้รับการระบุว่าเป็นคำแนะนำ แต่การตรวจสอบโดยมนุษย์ยังมีความจำเป็นเมื่อ AI กำลังทำการตัดสินใจที่สำคัญ

8. ปรึกษากับซัพพลายเออร์ภายนอกเพื่อให้แน่ใจว่าการใช้ AI ของคุณเหมาะสม

การซื้อระบบ AI จากบุคคลที่สามไม่ได้เป็นการปลดเปลื้องคุณจากความรับผิดชอบในการปฏิบัติตามกฎหมายคุ้มครองข้อมูล ในกรณีส่วนใหญ่ คุณจะเป็นผู้ควบคุมข้อมูล ตัดสินใจว่าจะปรับใช้ระบบ AI อย่างไร