Szerzők: Bojnár Katinka és Pünkösty András kutatók, Információs Társadalom Kutatóintézet
Szakmai körökben nagy visszhangot váltott ki a NAIH által az egyik hazai bankra kiszabott bírság egy mesterséges intelligencia alapú hangelemző szoftver használatával összefüggésben. A jogellenes adatkezelést a hatóság az általános adatvédelmi rendelet (GDPR) alapján állapította meg. A mesterséges intelligencia alkalmazások nélkülözhetetlen bemeneti feltétele a nagy adattömeg kezelése, amelynél kritikus az adatvédelmi jogi megfelelőssége. Az ügynek további jelentőséget ad az Európai Unió azon erőfeszítése, hogy a kiválóságra és bizalomra épülő mesterséges intelligencia alkalmazások terjedhessenek el a kontinensen, ennek keretében előkészületben van a Mesterséges Intelligencia szabályozására vonatkozó rendelettervezet („MI Kódex”). Az alábbiakban a döntést az adatvédelem és a küszöbön álló európai mesterséges intelligencia szabályozás metszetében vizsgáljuk.
Amit a NAIH döntésről tudni lehet
Az egyik bank mesterséges intelligencia alkalmazásával ügyfélszolgálati hangfelvételeket elemzett. A rögzített hívások elemzésére automatikusan került sor, és a kapott eredmény alapján döntötték el, hogy melyik elégedetlennek minősített ügyfelet szükséges visszahívni. A mesterséges intelligencia szerepe abban nyilvánult meg, hogy egyrészt beszédjel-feldolgozás segítségével automatikusan elemezte egy megadott lista szerinti kulcsszavak elhangzását, másrészt a beszélő érzelmi/hangulati állapotát is értékelte. Az így kinyert adatokat továbbá az ügyfélszolgálati munkatársak munkájának minősítésére is felhasználták. A bank honlapján mindenki számára elérhető adatkezelési tájékoztató a minőségbiztosítást és a panaszmegelőzést szerepelteti adatkezelési célként, a hangelemzésről, illetve az általa nyert eredmény felhasználásáról nem esik szó. Az adatkezelés jogalapjaként a bank azon jogos érdekét állította, hogy az ügyfeleit megtartsa, illetve a belső működésének hatékonyságát növelje. A döntés kiemeli, hogy az érintett bank adatvédelmi hatásvizsgálatot folytatott le, és megállapította, hogy az adatkezelés több okból is magas kockázatú, alkalmas profilalkotásra, illetve scoringra, és az adatkezelés az érintettekre joghatással bírhat. A hatásvizsgálat és az érdekmérlegelés azonban nem ad érdemi megoldásokat ezen kockázatok kezelésére.
A bírság jogalapja
A NAIH több tekintetben is elmarasztalta az adatkezelő bankot. Egyrészt az adatkezelő nem rendelkezett semmilyen jogalappal az ügyfélszolgálati hangfelvételek mesterséges intelligencia általi, automatikus elemzése vonatkozásában. A Hatóság határozott álláspontja szerint az érdekmérlegelés érvénytelensége miatt az adatkezelő nem alapozhatta jogos érdekre (GDPR 6. cikk f) pont) az adatkezelést. A bank ugyanis csak azt állapította meg, hogy az általa elérni kívánt érdeke érvényesítéséhez szükséges az adatkezelés, az arányosságot, az érintetti oldalt ténylegesen nem vizsgálta, bagatellizálta a jelentős alapjogi kockázatokat. Más GDPR szerinti jogalap megfelelőségének kérdése pedig fel sem merült. A NAIH kiemelte, hogy egy új típusú és fokozott kockázatú technológia alkalmazása esetén a tényleges garanciák megléte, valamint rendszeres és érdemi felülvizsgálat minimumelvárásnak tekinthetőek. A jogos érdek jogalapként való alkalmazásával összefüggésben pedig hangsúlyozta, hogy az nem arra szolgál, hogy egyéb lehetőség hiányában az adatkezelő bármikor és bármilyen indokkal az egyéb jogalapok alkalmazhatóságának hiányában hívja fel ezt a jogalapot. Másrészt kiemelt figyelem hárult a vizsgálat során az érintettek megfelelő tájékoztatásának garanciális követelményére. A bank adatkezelési tájékoztatójában leírtak nem álltak összhangban a mindennapi adatkezelési gyakorlattal. A bank tudatában volt annak, hogy a vizsgált hangelemzéssel összefüggésben évek óta nem biztosította a megfelelő tájékoztatást, és ezáltal a tiltakozási jogot az érintettek számára.
A bírság mértéke és az ügy jelentősége
Az ügy lényegének és a NAIH döntésének bemutatását követően szenteljünk kicsit több figyelmet a bírság mértékének, amely 250 millió forintra rúg (658 ezer EUR). Ez az eddigi magyar gyakorlatban példátlan mértékű. A GDPR úgy határozza meg a kiszabható bírság összegét, hogy az legfeljebb 20 millió euró mértékű lehet, ugyanakkor vállalkozásokat az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4%-át kitevő összeggel kell sújtani azzal, hogy a kettő közül a magasabb összeget kell kiszabni. A határokon átnyúló adatvédelmi ügyekről az Európai Adatvédelmi Testület regisztert vezet. Ennek tanúsága szerint eddig 24 esetben szabtak ki adatvédelmi bírságot, és ezek összege a néhány ezer eurós bírságtól átlagosan a félmillió eurós bírságig terjedt, ez alól négy eset jelent kivételt. Az egyik az ír hatóság által a WhatsApp Ireland Limiteddel szemben kiszabott 250 millió eurós bírság, a másik három ügyben az akkor még EU-s tagállam Egyesült Királyság szabott ki milliós nagyságrendű bírságokat különböző adatvesztések, hackertámadások okán. Gyors fejszámolást követően láthatjuk, hogy a közel hétszázezer eurós bírság magyar viszonylatban kiemelkedő összeg, ugyanakkor a GDPR szerint kiszabható maximum összeg huszadát sem éri el, de uniós szinten így is a magasabb összegű bírságok közé tartozik.
A bírság kiszabásán túl a NAIH kötelezte a bankot az adatkezelési gyakorlatának GDPR-konform átalakítására, azaz megtiltotta a hangfelvételek érzelmi szempontú elemzését, felszólította az érintetti jogok biztosítására, így különösen a megfelelő tájékoztatás és tiltakozás jogának biztosítására. Továbbá a döntés kitér a munkavállalókkal kapcsolatos adatkezelésekre, amelyeknek a szükségesre kell korlátozódniuk, és az adatkezelés tényleges megvalósulásának megfelelő tájékoztatást kell nyújtani a munkavállalók részére. Az ügy gyakorlati jelentősége lehet a jövőre nézve, hogy a vállalkozások oldalán fokozottan jelentkezik az igény a fejlett technológiákkal összefüggésben a jogszerű és etikus megoldások kialakítására.
Vajon a MI Európai Kódexébe ütközne-e a NAIH által vizsgált tényállás?
Európa élen jár a mesterséges intelligencia szabályozásában és egy kikényszeríthető kockázat alapú normatív szabályozás kialakítása van folyamatban, amelyről már hírt adtunk ezen a blogon. A világ szinte valamennyi régiójában számos iránymutatás és elvi állásfoglalás került elfogadásra, amelynek közös magját látványosan jeleníti meg a Harvardi Egyetem Berkman Klein Center Principled Artifical Intelligence projektje. De mi lehet a tétje a piaci szereplők számára az európai szabályozásnak és milyen szankciókat fogalmaz meg a rendelettervezet? Az alábbi hipotetikus elemzésünk azzal a megszorítással értelmezhető, hogy a jogszabályalkotás folyamata még nyitott kérdésnek tekinthető. A rendelettervezet fogalommeghatározásai között a 34. pontban szerepel az „érzelemfelismerő rendszer”, amely „olyan MI rendszer, amely természetes személyek biometrikus adatai alapján azonosítja vagy levezeti a természetes személyek érzelmeit vagy szándékait”. Kérdés, hogy vajon a szóban forgó szoftver megfelel-e ennek a definíciónak? A biometrikus adat fogalmát a tervezet nem részletezi, háttérszabályként a GDPR rendelkezései lesznek irányadóak (4. cikk 14. pont). A konkrét ügy kapcsán a NAIH határozat 45. pontja kifejti, hogy „a hangelemzés eredményét képező adatok közül egyedül az érzelem, pszichikai állapot az, amely adott körülmények között biometrikus adatnak vagy egészségügyi adatnak minősülhet”, ugyanakkor a konkrét ügyben „nem az érintettet egyedileg azonosító adat jön létre, így a biometrikus adat ezen feltétele hiányzik”. A határozat megjegyzi ugyanakkor, hogy „nem az alkalmazott módszer vagy maga az adat minősége miatt nem állnak fenn a [különleges adatra vonatkozó] feltételek, így adott esetben más ügyekben azonos körülmények mellett a hasonló adat minősülhet különleges kategóriájú személyes adatnak, ha az egyéb körülmények, további adatokkal való összekapcsolás alapján (…) teljesítik a feltételeket”.
A gondolatkísérletünket már nem a konkrét ügy, hanem egy ilyen alternatív hipotetikus eset vonatkozásában visszük tovább. A MI rendelettervezet 52. cikk (2) bekezdése alapján az ilyen érzelemfelismerő rendszerekről tájékoztatni kell azokat a természetes személyeket, akik ilyen rendszerrel kapcsolatba kerülnek. A kötelezettség megsértésével kapcsolatosan a 71. cikk (4) bekezdése állapít meg szankciót, amely legfeljebb 20 millió EUR összegig terjedhet, vagy vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggel sújtható és a kettő közül a magasabb összeget kell kiszabni. Ez a GDPR szankciós szabályaival azonos mértéket jelent. Megjegyzendő, hogy a leendő szankciós rezsim kialakítás a tagállamok feladata lesz, kérdésként jelentkezik például a kettős értékelés tilalmának való megfelelés, ugyanakkor az előírt szankcióknak hatékonynak, arányosnak és visszatartó erejűnek kell lenniük a rendelettervezet 70. cikk (1) bekezdés szerint. Olybá tűnik, hogy a piaci szereplőknek tehát érdemes fél szemmel a MI szabályozásnak való megfelelősséget is tekintetbe venni.
