Míg korábban az alkotmányjog és benne az alapjogok kizárólag a közhatalom, az állam hatalmának korlátozására és vele szemben a polgári szabadság védelmére fókuszáltak, addig mára az új technológiák is olyan „hatalmi helyzeteket” és „kiszolgáltatottságokat” hoztak létre, hogy velük szemben is indokolt a hatalmukat kontrolláló és az érintett alkotmányos jogokat védő reguláció.

Ezt az alkotmányjogi hangsúlyváltást látjuk a GDPR-tól kezdve a platformszabályozáson (röviden DSA) keresztül az MI-kódexig: céljuk egyrészt jogállami követelmények (jogszerűség, átláthatóság, elszámoltathatóság) biztosítása, másrészt emberi jogok (emberi méltóság, magánautonómia, magánélet, szólásszabadság) védelme az új technológiákkal szemben. De mikor láthatjuk ezeknek az eredményét? Többek között erről is beszélgettünk Török Bernát alkotmányjogásszal, a Nemzeti Közszolgálati Egyetem Információs Társadalom Kutatóintézetének a vezetőjével.

Mit gondol, a GDPR mennyire volt sikeres szabályozás világviszonylatban?

A GDPR volt az első olyan átfogó szabályozás, ami reagált a totális digitalizációnak nevezhető jelenségre. Ennek lényege, hogy minden információ digitális adattá lesz – ez pedig több szempontból is egységes európai uniós szabályozást indokolt.

Melyek voltak ezek a szempontok?

Az egyik egy belső piaci cél volt. Közhelyszerű mottó manapság, hogy az adat lett az új olaj, ami annyiból igaz is, hogy a gazdaság működését is jelentős mértékben az adat kezdte meghatározni. Egyrészt tehát gazdasági, belső piaci szempontból is fontos volt, hogy az európai uniós országok egységesen szabályozzák az adatkezelés kérdését. Másrészt legalább ennyire fontos cél volt, hogy az Európai Unió arra is reagáljon, hogy ezek az új, digitális technológiák új veszélyt jelentenek a személyes jogainkra – mindenekelőtt a személyes adataink védelméhez fűződőkre.

Mi volt tehát a pontos célja?

A cél az volt, hogy a személyes adatok védelméhez való jog garantálásán keresztül védje a szabadságunkat és a jogainkat a digitális világban. Hogy ez mennyire volt sikeres, eléggé összetett kérdés, amely több irányból közelítve ítélhető meg. Abból a szempontból mindenképp sikeres volt, hogy az adatvédelem fogalmát berobbantotta a köztudatba. Ma már kétségtelenül ott van mindenkinek a fejében, hogy a digitális adatvédelem fontos dolog.

A GDPR bizonyos folyamatokat és jogi elvárásokat egyértelművé téve szabályozta az adatvédelem kérdését, és ez az Európai Uniót egyfajta zászlóvivővé tette a szabályozás területén. Nem titok, hogy máshol, például Amerikában is érzékelik azokat a problémákat, amelyekre a GDPR választ adott, csak nem tudnak egyelőre úgy reagálni rá, ahogyan azt az Európai Unió tette, és ami által az EU a digitális technológiák szabályozása terén egy világviszonylatban is fontos igazodási pont lett. Jogosan beszélnek „Brüsszel-hatásról” a tengerentúlon is.

Tévhit volt, hogy mindentől megvéd minket

Mi az, amiben nem volt sikeres az EU-szabályozás?

Az elvárások voltak túlzottak. A GDPR-tól sokan azt várták, hogy minden digitális veszélytől megvéd minket, és a magánéletünk szinte teljes körű védelmét nyújtja majd a digitális térben. Sokan várták például, hogy a közösségimédia-platformokkal szemben is ez fogja megóvni a privát szféránkat. Csakhogy alapvető tévedés adatvédelmi szabályoktól várni a magánéletünk átfogó védelmét. Az adatvédelem nagyon fontos része a magánélet védelmének, de a maga szabályozási logikájával nem tudja hatékonyan lefedni a magánszféránkkal, személyes autonómiánkkal összefüggő problémák teljes spektrumát. A közösségi média példája sokatmondó: nyilván hozott előrelépést a GDPR, de összességében a digitális adataink mégsem lettek sokkal védettebbek e szolgáltatók érdekeitől. Mindezt azért is fontos látni, mert a fennmaradó problémákra az adatvédelmen túlmutató új megoldásokat kell találni. Erről szólnak az Európai Unió új szabályozási kísérletei, különösen a már elfogadott DSA, illetve a most formálódó mesterségesintelligencia-kódex.

Ezek mentén hogyan lehetne a GDPR-t továbbfejleszteni?

Az új technológiák fejlődése ma már sokkal összetettebb kihívást jelent mind az emberi személy integritása, mind pedig demokráciánk minősége szempontjából annál, hogy pusztán adatvédelmi szabályokkal reagáljunk rá. Az internetes platformokat szabályozó DSA igyekszik például jogi választ adni azokra a kérdésekre, amelyeket a közösségi média működése felvetett a szólásszabadság és a társadalmi nyilvánosság terén. Ennek részeként egyrészt a platformoknak jogi kötelező erővel kell majd figyelembe venniük a felhasználók szólásszabadságát akkor, amikor moderálják a felületükön zajló kommunikációt. Másrészt a felügyelő hatóságokkal közösen rendszeresen értékelniük kell majd azokat a hatásokat, amelyeket az algoritmikus ajánlórendszereik gyakorolnak a társadalmi nyilvánosságra. Ez alapján pedig a demokratikus közvélemény alakulása szempontjából aggályos folyamatokban – például a véleménybuborékok kialakulásában, illetve gyűlöletkeltő vagy dezinformációs kampányokban – játszott szerepükre cselekvési tervvel kell majd előállniuk.

Ami pedig az emberi személy integritását illeti, ott a mesterséges intelligencia alkalmazásának terjedése vet föl újszerű kérdéseket. Milyen döntéseket, milyen eljárásban, milyen szabályok mentén engedjünk át a gépeknek akkor, amikor ezek a döntések sokszor alapvető hatással vannak személyiségünkre, életünkre. Jó irányban halad az Európai Unió akkor, amikor ezekre a kérdésekre szabályozói választ keres. Egyéni kiszolgáltatottságunk ezekkel az alkalmazásokkal szemben ugyanis ábránddá teszi a hatékony személyes védekezést. Miközben az információs társadalom mai pörgésében teljesen irreális azzal jönni, hogy aki kockázatokat érzékel vagy akinek nem tetszik valami, az maradjon ki ezekből a szolgáltatásokból.

Kockázat alapján tiltanák az alkalmazásokat

Áttérve a mesterséges intelligenciára, hogy érzi, melyek azok a részhatalmak, amelyek a mesterséges intelligenciához kerültek az elmúlt időben, és melyek lehetnek azok, amelyek minket is érinthetnek anélkül, hogy tudnánk róluk?

Mit ért részhatalmak alatt? Konkrét alkalmazásokra gondol?

Akár, igen.

Van egy általános viszonyulás, miszerint az új technológiák, kiváltképp az MI a rólunk szerzett temérdek információ birtokában és az életünk fontos kérdéseiben hozott döntések révén egyfajta „hatalmi helyzetben” vannak velünk szemben. Másik oldalról ugyanez: kiszolgáltatottság jellemzi a pozíciónkat a számunkra átláthatatlan, de minket mélyen érintő gépi folyamatokkal szemben. Ez a felfogás jelenik meg a szabályozások logikájában is, amelyeknek közös pontjuk, hogy a korábban a közhatalom gyakorlóját terhelő egyes kötelezettségeket ma már kiterjesztik azokra a magánszereplőkre, cégekre is, amelyek ezeket a technológiákat használják. Gondolhatunk az átláthatóság vagy az elszámoltathatóság követelményeire, vagy az alkotmányos jogaink védelmére.

A nemrégiben benyújtott EU-s mesterségesintelligencia-kódex tervezete ugyanakkor, nagyon helyesen, nem általánosságban ömleszti rá a szabályokat azokra, akik MI-t alkalmaznak, hanem egy úgynevezett kockázatalapú szabályozást irányoz elő, amelynek két kiemelt köre van: a tiltott, illetve a nagy kockázattal járó MI-rendszerek.

Az első a tiltott alkalmazások köre, amelyről a rendelet eleve kimondaná, hogy jogszerűtlenek. Ilyen például a tudatalatti technikákat tudtunk nélkül, magatartásunk torzítására alkalmazó mesterséges intelligencia. A hatósági megbízhatósági értékelés, az úgynevezett közösségi pontrendszer működtetését az MI-kódex szintén kizárná. Ezek mellett tiltott lesz még a különböző sebezhetőségeket, mint például az életkort vagy fogyatékosságot kihasználó, a felhasználóra kártékony, ártalmas mesterséges intelligencia létrehozása is.

Mi a kódex valódi lényege?

A kódex lényegi része a nagy kockázatú rendszerek azonosításáról és részletes jogi kötelezéséről szól. Az azonosítás körében megint csak markánsan megjelenik az alkotmányjog logikája: az egészségünkre vagy a biztonságunkra jelentett kockázatok mellett azok az MI-alkalmazások minősülnek majd nagy kockázatot hordozónak, amelyek az alapvető jogaink érvényesülése terén járnak kiemelt kockázatokkal.

Ha már részhatalmakról beszélünk, egy konkrét listát is fel lehet sorolni arról, milyen alkalmazásokat tekint a kódex nagy kockázattal járónak.

Idetartozik például minden olyan rendszer, amely biometriai azonosítással él, azaz a különböző hang- és arcfelismerő, valamint az ujjlenyomatainkat használó rendszerek. Bizonyos tárgykörökben, szektorokban használt MI-rendszerek is idesorolhatók, mint az oktatásban használatos MI-rendszerek területe, amikor felvételik értékelésében alkalmaznak mesterséges intelligenciát, de ilyen a foglalkoztatás köre is, ahol a pályázatok közötti szelektálást már most sok helyen azzal végzik el. Szintén idetartoznak a bűnüldözés vagy az igazságszolgáltatás területén használatos MI-rendszerek is, amelyek leginkább Amerikában jelentek meg eddig. Az alapszolgáltatásokat érintő mesterségesintelligencia-rendszereket is meg kell említeni, például a banki hitelek vagy az állami segélyek igénylésekor használt alkalmazásokat.

Az MI-kódex ezeknek a rendszereknek a létrehozására és működtetésére részletes kötelezettségeket fog előírni. Aszerint rakna tehát kötelezettségeket különböző, alapvetően magánalkalmazásokra, hogy azok milyen veszéllyel járnak az emberi szabadságra, méltóságra, sőt olyan uniós értékekre, mint a demokrácia vagy a jogállamiság.

Mindenki életére hatással lesz

Mikorra várható a szabályozás bevezetése az unióban, és milyen hatásokat fog ebből egy átlagember érezni?

Mivel már van egy formálisan benyújtott javaslat, akár már 2023 őszén vagy 2024 tavaszán lehet belőle elfogadott rendelet. Ez persze nem lép egyből hatályba, de a rendelet elfogadása utáni évben erre is sor kerülhet. Az Európai Unió láthatóan kifejezetten ambicionálja ezeknek a szabályoknak az elfogadását, így nem gondolom, hogy sokáig elhúzódna a jogalkotási folyamat. Az, hogy mit érez majd mindebből az átlagpolgár, már egy másik kérdés – szerintem sokat. Egyes MI-alkalmazásokkal a biometrikus azonosítástól a chatbotokon át a banki ügyintézésig már ma is rendszeresen találkozunk, ezek a jövőben sokkal átláthatóbban és követhetőbben fognak kapcsolatba lépni velünk. A kötelezettségek középpontjában ugyanis az áll majd, hogy azok, akiknek az életét és jogait ezek a technológiák érintik, tisztában legyenek a szóban forgó MI alkalmazásával, rendeltetésével, kockázataival és az emberi beavatkozás igénylésének lehetőségével.

Jól látható, hogy az EU fontos szerepet szán magának az új technológiák szabályozása terén, és törekszik rá, hogy világviszonylatban is mutassa az utat. Ahogy a GDPR esetében, úgy a mesterséges intelligencia kódexénél is látványos transzparenciára van szükség.

A GDPR-ral kapcsolatban megismert tapasztalatok alapján sikeres lehet az MI-kódex bevezetése?

A legnagyobb kérdés mindig az, hogy a jogalkalmazók hogyan tudják érvényesíteni az elfogadott szabályozásokat, de a startvonalnál állva úgy látom, sikeresek lehetnek a DSA-ban és a majdani MI-kódexben foglalt szabályok. Ahogy a DSA-n, az MI-kódexen is azt látom, hogy jó helyzetet teremt azok számára, akik ezzel a kérdéssel valóban foglalkozni szeretnének, és jogalkalmazóként meg akarnak birkózni azokkal a kihívásokkal, amelyek előttünk állnak. Amire a jog alkalmas lehet, annak megtételére megfelelő alapot teremtenek ezek az EU-s rendeletek. Más kérdés, hogy a felmerülő társadalmi kihívások, például a demokratikus nyilvánosság problémái, túlmutatnak a jogilag rendezhető kereteken.

(Borítókép: Kiss Marietta Panka)