Як gdpr вплине на галузь промисловості | Бен Діксон

У тому, що можна охарактеризувати як різновид гонки озброєнь, технічні компанії збирають великі обсяги даних користувачів, щоб відточити алгоритми штучного інтелекту, що працюють на їхніх додатках та платформах. Поки що вони здебільшого змогли ухилитися від відповідальності, коли їх практика підштовхнула їх до юридично та етично сірих зон.

Але це може змінитися 25 травня, коли набудуть чинності Загальні правила захисту даних (GDPR) Європейського Союзу. GDPR накладе безпрецедентні обмеження на збирання та обробку даних користувачів у регіоні ЄС та накладе жорсткі штрафи на компанії, які не виконають їх.

Це може здатися поганою новиною для компаній, які використовують алгоритми AI, які скористалися нестабильними правилами збору даних (а також тривалими, нудними та неоднозначними умовами надання службових документів). Деякі побоюються, що більш жорсткі правила будуть перешкоджати інноваціям та впровадженню штучного інтелекту у багатьох додатках та областях. Інші вважають, що нова директива створить основу, коли програми AI стануть більш надійними та надійними.

Як би там не було, галузь ШІ переживає великі зрушення в епоху GDPR.

Власність та конфіденційність даних

"GDPR - це велика справа для ШІ, оскільки це вимагає, щоб ми по-різному думали про те, як ми збираємо та використовуємо дані", - каже Тім Естес, засновник і президент Digital Reasoning. "Технологічні компанії занадто довго наполягали на тому, щоб отримати цінність від своїх товарів і послуг, вам доведеться відмовитись від своїх даних".

Раніше від компаній вимагали отримувати лише невиразну згоду від користувачів на збір всіляких даних. "AI допомогла зберегти ажіотаж великих даних - це ще одна причина, по якій підприємства повинні збирати та видобувати всі наявні дані", - говорить Естес. "Багато компаній почали впроваджувати інтелектуальний інтелект для аналізу своїх даних лише тому, що вважають, що це потрібно - без думки про вплив на конфіденційність користувачів або право власності на дані".

Найбільш основна передумова GDPR - це те, що дані належать користувачам. У рамках GDPR компаніям доведеться розкривати повний обсяг інформації, яку вони збирають, а також те, як вони її використовують та як вони захищатимуть та запобігати несанкціонованому доступу. Нові правила змусять компанії AI бути більш ретельними щодо даних, які вони збирають, на відміну від того, щоб займатися безрозсудним зберіганням, обробкою та обміном інформацією про користувачів.

Право бути забутим

GDPR надає користувачам можливість вимагати від компанії видалити всі свої дані зі своїх серверів. Це не буде добре співпрацювати з AI компаніями, які зацікавлені зберігати якомога більше даних користувачів для виконання завдань, таких як прогнозування тенденцій та поведінки користувачів.

"Зрештою, GDPR - це все про те, як ви збираєте та керуєте даними, а не обов'язково про те, скільки у вас є даних", - каже Марина Бурушкіна, генеральний директор GrowthChannel. "Основна складність, з якою стикається більшість компаній, полягає не в тому, щоб отримати можливість відмови, а більше в управлінні даними, повідомленні користувачів про використання даних і наданні користувачам можливості видалити їх."

Компаніям AI доведеться зробити додаткові кроки для анонімності своїх даних, якщо вони все ще хочуть отримати доступ до цих даних. Але інші проблеми стикаються з компаніями, які вже мають великі сховища даних користувачів.

"Відповідно до GDPR, якщо компанія хоче стерти певний PII, тоді вони повинні гарантувати, що вона буде стерта скрізь", - говорить Амнон Дрорі, генеральний директор Octopai. Це може бути непростим завданням виконувати вручну, коли ваші дані розкидані на різних серверах і зберігаються в різних структурованих і неструктурованих форматах.

Наприклад, видаляючи номер кредитної картки користувача (безумовно, конфіденційну інформацію), компанії повинні вивчити кожен звіт, базу даних, об’єкт бази даних та ETL, де зберігається інформація. "Іноді ми бачимо різні назви метаданих одного і того ж елемента: наприклад, " номер кредитної картки ", " номер коду ", номер кредитної c", "номер картки", "номер кредитної картки". Список продовжується і далі, - каже Дрорі. Часто неможливо знати, де шукати, і процес може зайняти тижні чи навіть місяці, і, як і багато ручних процесів, він схильний до людських помилок і неточностей, говорить Дрорі.

GDPR також підвищить витрати на помилки людини в обробці даних. "Тому так багато компаній сьогодні шукають автоматизованого рішення для точного управління своїми метаданими", - говорить Дрорі. Можливо, як не дивно, сам ШІ може бути рішенням у цьому плані. Інструменти управління метаданими на основі AI можуть сканувати всі джерела даних в організації та консолідувати зв’язки між різними інструментами та джерелами даних.

Право на пояснення

Однією з найбільш значущих частин GDPR щодо ШІ є те, що стало відомим як "право на пояснення". В директиві зазначено, що компанії повинні сповіщати користувачів про "існування автоматизованого прийняття рішень" та надавати їм "змістовну інформацію про логіку, що застосовується, а також про значення та передбачені наслідки такої обробки для суб'єкта даних".

Це в основному означає, що користувачі повинні знати, коли вони безпосередньо чи опосередковано підпорядковуються алгоритмам AI, і повинні мати можливість оскаржувати рішення, які приймають ці алгоритми, і вимагати підтвердження того, як був зроблений висновок. Це буде однією з найбільших проблем, з якою зіткнеться галузь ІП.

Глибокі нейронні мережі, основна технологія сучасних алгоритмів ШІ, - це складні програмні структури, які створюють власні правила функціональності, аналізуючи великі набори даних та знаходячи кореляції та закономірності. У міру того, як нейронні мережі ускладнюються, їх поведінку дедалі важче розкладається. Часто навіть інженери не можуть пояснити причини, що стоять за рішеннями, які приймають їхні алгоритми AI.

Викликана проблемою "чорної скриньки", незрозумілість алгоритмів ШІ ускладнила їх реалізацію у рішеннях судових залів, правоохоронних органів, заявок на отримання кредитів та кредитів, підбору персоналу, охорони здоров'я та інших важливих областей. Але не маючи жодних юридичних важелів, компанії AI мали малий стимул зробити свої алгоритми AI більш прозорими, особливо коли вони були тісно пов'язані зі своєю комерційною таємницею.

Тепер GDPR буде проводити AI компанії для обліку рішень, які приймають їхні алгоритми.

"Як частина GDPR, організації несуть відповідальність за чіткий опис методу обробки людською мовою, вимагаючи згоди цього суб'єкта", - каже Паскаль Гененс, науковий співробітник Radware. "По мірі того, як розвивається глибоке навчання, і вчені не в змозі охарактеризувати детермінований характер, що стоїть за міркуваннями нейронної мережі, цей опис може стати більш складним і важким для пояснення".

В основному, GDPR - це притягнення до відповідальності людей, які обробляють дані, каже Гененс. Отже, якщо ви використовуєте алгоритми машинного навчання для обробки, ви повинні розробити їх таким чином, щоб ви могли пояснити рішення, які вони приймають від вашого імені.

Кілька організацій намагаються розробити технології, щоб зробити AI більш прозорим. Видатним серед них є роз'яснюваний ІІ (XAI) DARPA - дослідницький проект, який має на меті зробити рішення на основі AI зрозумілими.

Аутсорсинг AI

GDPR також вплине на організації, які надають свої дані третім сторонам. Видатний приклад такої компанії - Facebook; у своєму скандалі Cambridge Analytica гігант соціальних медіа не зміг перешкодити фірмі з видобутку даних збирати та зловживати даними 87 мільйонів користувачів. Але GDPR також матиме наслідки для компаній, які передають свої функціональні можливості у сфері ІІ та надають свої дані доступним постачальникам ШІ.

"Хоча багато хто припускає, що постачальники ІІ подібні до інших постачальників послуг - просто пропонуючи свої технології в обмін на грошову компенсацію - правда, постачальники ІІ також вступають у ділові партнерства як спосіб розвивати та розвивати свої технології", - каже Естес, керівник виконавчий директор з цифрового обґрунтування. Це означає, що постачальник AI, можливо, захоче дотримуватися даних клієнта для подальшого навчання власних алгоритмів та використання його в інших областях.

Наприклад, постачальник ШІ, який допомагає організації охорони здоров’я знаходити закономірності симптомів та покращувати діагнози, може натрапити на набір даних, що покращує його власні алгоритми. Тоді компанія AI може захотіти використовувати дані для вдосконалення своїх алгоритмів для інших видів обслуговування пацієнтів, розвивати свої можливості для надання допомоги іншим медичним працівникам. Відповідно до GDPR, організація охорони здоров'я, відповідальна за отримані дані, проводитиметься для обліку будь-якого неетичного використання постачальником ШІ. Основне, на думку Естеса, полягає в тому, щоб бізнес шукав постачальників ІІ, які вірять у володіння алгоритмами, а не даними.

"GDPR змусить бізнес приділяти більш пильну увагу тому, як і коли використовуються їхні дані, де вони зберігаються і що з ним відбувається після завершення проекту", - каже Естес. "Це означає роботу з провайдерами AI, які допомагають визначити лінії володіння даними та реалізувати стратегії, що захищають інформацію про користувачів, не перешкоджаючи тим, як вона може допомогти досягти успіху алгоритмів AI."

Чи призведе інновацій GDPR Hamper AI?

Експерти, з якими ми говорили, вірять, що, хоча нові норми будуть кидати виклик існуючій практиці та звичкам, які AI компанії прийняли, це також змусить їх знайти нові шляхи інновацій, а також зберегти повагу до конфіденційності та етичних норм.

"З набуттям чинності регулювання GDPR усі основні програмні компанії вживають необхідних заходів, щоб не просто забезпечити відповідність, але й внести інновації та продумати, щоб знайти нові можливості на ринку", - каже Бурушкіна компанії GrowthChannel.

"Інновації не будуть перешкоджати, але спрямовані та мотивовані - GDPR", - говорить Дрорі Октопая. Тим часом GDPR також породжує нові підприємства та технології, які допоможуть організаціям досягти та підтримувати відповідність GDPR.

Стандарти, встановлені GDPR, насправді можуть допомогти усунути розрив довіри між постачальниками та користувачами послуг, що працюють на ІІ. Естес вважає, що GDPR зробить як постачальників ІІ, так і тих, хто впроваджує свої технології, більш відповідальними за те, як і де вони використовують ресурси даних, і підштовхне їх до того, щоб користувачі ставали перед прибутками. "Зрештою, - каже він, - постачальникам ІІ потрібно лише володіти алгоритмами, а не даними - для впровадження своїх можливостей та рішень".