Kálmán KingaA Társadalomtudományi Kutatóközpont „A mesterséges intelligencia jogi környezetének kihívásai” MILAB részprojekt keretében rendezett programsorozatának legújabb állomása 2021. április 6-án Eszteri Dániel „Mesterséges intelligencia és blokklánc: két új technológia az adatvédelmi megfelelés kapujában” című online előadása volt.
A hallgatóságot a beszélgetés moderátora, Mezei Kitti, a TK JTI tudományos munkatársa, a MILAB részprojekt vezetője köszöntötte. A programsorozat rövid ismertetését követően bemutatta az előadót. Eszteri Dániel jogász, a Nemzeti Adatvédelmi és Információszabadság Hatóság osztályvezetője, az Eötvös Loránd Tudományegyetem Jogi Továbbképző Intézetének és a Nemzeti Közszolgálati Egyetem megbízott oktatója. 2015-ben a Pécsi Tudományegyetemen szerzett PhD fokozatot a virtuális tulajdonról írt disszertációjával. Kutatási területei a virtuális tulajdon, a mesterséges intelligencia és a blokklánc technológia szabályozása, elsősorban polgári jogi és adatvédelmi jogi szempontból.
Az előadás érdemi részét Eszteri Dániel egy visszaemlékezéssel vezette fel. Felidézte, hogy 2011-ben kezdett el foglalkozni részletesebben a mesterséges intelligencia, a blokklánc és a kriptovaluták kérdéseivel. Elmondása szerint ekkoriban még „kriptovaluta-kereskedőnek” gondolták, környezetében nem feltételezték, hogy ezzel tudományosan is lehet foglalkozni. Ezzel az anekdotával azt szerette volna szemléltetni, hogy egyetlen évtized alatt mekkora fordulatot vett a tudományos gondolkodás. Ma már a kapcsolódó témák megkerülhetetlen részét képezik számos aktuális jogi kutatásnak.
Előrebocsátotta, hogy előadásában a mesterséges intelligencia, valamint a blokklánc adatvédelemhez fűződő kapcsolatát általánosságban vizsgálja. Ennek során három nagyobb területet vett számba: a blokklánc technológia adatvédelem szempontjából releváns jellemzőit, a mesterséges intelligencia, azon belül a gépi tanulás adatvédelmi kérdéseit, végül, de nem utolsósorban a két technológia ötvözetéből kialakuló lehetőségek értékelését vizsgálta.
A blokklánc technológia adatvédelmi szempontú elemzését megelőzően Eszteri felsorolta a számítógépes hálózatok három elkülöníthető típusát. Eszerint megkülönböztethetünk centralizált, decentralizált és elosztott hálózatokat. Az első kategóriába olyan kapcsolatrendszerek tartoznak, amelyek esetében minden hálózat egy központból indul, míg a decentralizált modellben sok kisebb hálózati csomópont található. Ha egy csomópontban változás keletkezik, az csak az adott környezetet érinti, míg a többi, kisebb hálózati központ érintetlen marad. Harmadik típusként értékelhető az elosztott hálózatok csoportja, amely esetben a számítógépek nincsenek egymással hierarchikus kapcsolatban, mindegyik elem ugyanolyan jogosultságokkal rendelkezik. Központok hiányában egy kliens változtatása nincs hatással a környezetére, így az integritás szempontjából ez a hálózattípus számít a legbiztonságosabbnak.
A blokklánc egy elosztott típusú hálózaton alapuló adatkezelési technológia. Itt Eszteri Dániel felhívta a figyelmet arra az elterjedt félreértésre, miszerint a blokklánc és a kriptovaluták közé nem lehet egyenlőségjelet tenni. Habár a két terület a gyakorlatban sokszor valóban összeforrhat, a blokklánc egy univerzális adatkezelési mechanizmus, amelyen sok más megoldás mellett a kriptovaluták is alapulnak. A blokklánc technológia nem csupán egy központi kontroll nélküli fizetési rendszer megvalósítása érdekében jött létre. A fizetésre, elszámolásra alkalmas virtuális egységek nyilvántartásán túl bármilyen, hálózaton kezelt adatcsomag tárolására és kezelésére is szolgálhat.
Az adatok tárolása egységnyi blokkokban történik és ha kiesik egy elem a láncból, az a hálózat koherenciáját az elosztott rendszer jellegéből fakadóan nem érinti. A blokkok láncszerűen, valamint utólag megváltoztathatatlanul kapcsolódnak egymáshoz, az újabb adategységek a sor végén kerülnek felfűzésre. Ha egy adatot ki szeretnénk javítani, azt kizárólag új blokkal tehetjük meg, a láncot sem törlés, sem módosítás okán nem lehet félbeszakítani. A törlés, illetve a módosítás lehetőségének kizártsága adatvédelmi szempontból számos aggályt rejt az alkalmazás oldalán.
Az alkalmazásra áttérve az okosszerződéseket hozta fel példának. Nick Szabo amerikai jogász-informatikus szerint az okosszerződések legfőbb sajátossága, hogy előre meghatározott feltételek érvényesülése esetén automatikusan megvalósulnak. A teljesítést, a biztonságot és a megszeghetetlenséget a felek által elkészített felosztott hálózat garantálja. Az okosszerződésekben foglalt személyes adatokat (nevek, bankszámlaszámok, teljesítési összegek), valamint a szerződéses feltételeket a hálózatok csomópontjai hitelesítik, nincs szükség a folyamatban emberi közreműködésre.
A blokklánc technológiai oldalának bemutatását követően az előadó áttért annak adatvédelmi aspektusaira. A GDPR alkalmazhatóságához elsősorban az szükséges, hogy a blokklánc alapú mechanizmus során személyes adatok közvetlen vagy közvetett úton történő kezeléséről legyen szó. Emellett kizárólag az EU területén tevékenységi központtal rendelkező adatkezelő, vagy ott tartózkodó érintett viszonylatában lehet a kérdést vizsgálni. A Nemzeti Adatvédelmi és Információszabadság Hatóság úgy foglalt állást, hogy a csomópontok üzemeltetői az adatok hozzáadása és a tranzakciós műveletek parancsba adása szempontjából adatkezelőknek minősülnek. A francia adatvédelmi hatóság (Commission nationale de l'informatique et des libertés) pedig kimondta, hogy a mások által elrendelt tranzakciók kriptográfiai hitelesítése adatkezelésnek minősül. Ebből következően megállapítható, hogy a blokklánc alapú adatkezelés, mint technológia vizsgálható a GDPR követelményei szempontjából, amennyiben a személyi és tárgyi feltételek is teljesülnek.
Az EU adatvédelmi rendeletének alapelvei közül három követelmény megítélése lehet kérdéses a blokklánc alapú adatkezelés alkalmazása esetén. Sokan említik a célhoz kötöttség értelmezhetőségét első problémaként, azonban Eszteri Dániel úgy gondolja, hogy könnyen található legitim cél a blokklánc adatkezelés üzemeltetéséhez is, a „hagyományos” adatkezeléssel azonos módon. Az adattakarékosság elve már nehezebb kérdéseket vet fel. Hogyan lehet biztosítani az adatok törlésének lehetősége nélkül azt, hogy csak olyan adatok kerüljenek kezelésre, amelyek az adatkezelési cél elérése érdekében szükségesek? Ugyanez a sajátosság felvetheti a korlátozott tárolhatóság sérelmét is. A blokklánc esetén nem lehet egyszerűen leiratkozni a hírlevélfolyamról, vagy felbontani a szerződést, ha nem kívánjuk engedélyezni személyes adataink további felhasználását, kezelését.
Az eddigi adatvédelmi gyakorlat alapján a GDPR szerint csak az számít törlésnek, ha annak következtében a személyes adat megszűnik létezni. Blokklánc esetén ehhez hasonló eredményt legfeljebb a hozzáférési láncok „elégetésével” lehet elérni. Ennek során a személyes adat a hálózat része marad ugyan, de senki nem fog tudni hozzáférni. Eszteri szerint ez a módszer nem feleltethető meg a GDPR törlés fogalmának. A fő kérdés annak eldöntése, létezhet-e arra legitim indok, hogy egy adat sorsát vissza lehessen vezetni egészen a megszületéséig. Amennyiben erre a kérdésre igenlő válasz születik, az egy lehetséges felmentésként szolgálna a GDPR-nak való megfelelési kötelezettség alól. Fontos kiemelni továbbá, hogy jelenleg is vannak kísérletek olyan blokkláncok kifejlesztésére, amelyek ezen kihívások GDPR-nak megfelelő megoldására törekszenek. Talán majd ezek sikere esetén az alapelvi aggályok valamelyest feloldódhatnak, azonban jelenleg még sokat kell dolgozni ennek eléréséért.
Az előadás második egységét a mesterséges intelligencia és a személyes adatok védelmének kapcsolata képezte. Az automatikus döntéshozatal adatvédelmi kérdéseivel a GDPR 22. cikke foglalkozik. A rendelkezés alapján az érintett jogosult arra, hogy ne terjedjen ki rá az olyan adatkezelésen alapuló döntés, amely rá nézve joghatással bír, vagy hasonlóan jelentősen érinti őt. Ezt az iránymutatás szerint általános tilalomként kell felfogni, ide tartozik például a szociális ellátások odaítélése/megtagadása, állampolgársági, határátlépési döntések meghozatala vagy egy egyetemi felvétel garantálása.
Ezen szabályok kivételeként három esetet ismer a GDPR. Ha az érintett és az adatkezelő közötti szerződés rendezi, hogy az automatizált döntéshozatal alkalmazása a legmegfelelőbb adatkezelési módszer a szerződésben meghatározott célok eléréséhez, és szükséges a szerződés teljesítése érdekében, az adatkezelő mentesül a tilalom alól. Emellett uniós vagy nemzeti jogszabály szintén lehetővé teheti az ilyen típusú adatkezelést. Erre láthatunk példákat csalás, pénzmosás elleni küzdelem, vagy a terrorizmus megakadályozása érdekében született jogszabályokban. A harmadik lehetőség az érintett kifejezett hozzájárulása. Ezekben az esetekben a kifejezettség szokott vita tárgya lenni, amelyet a legkönnyebben írásbeli nyilatkozattal, elektronikus aláírással vagy kétfaktoros autentikációval lehet bizonyítani.
Az előadás harmadik, egyben utolsó részében Eszteri Dániel a két technológiával szemben alkalmazható adatvédelmi eszközökre tett javaslatot. Az egyik irány a GDPR 25. cikkében szabályozott beépített adatvédelem felé mutat. A blokklánc vagy mesterséges intelligencia alapú adatkezelés esetén is szükséges beépíteni a megfelelő technikai és szervezési intézkedéseket már a tervezés során. Megfelelő előzetes adatvédelmi hatásvizsgálatok készítése esetén figyelembe lehetne venni a tudomány és a technológia jelenlegi állását és reflektálni az adatkezelés releváns kockázataira. Az adatvédelmi megfelelés előzetes vizsgálata az „éles rendszer” működése során visszaköszönne, így hatékonyabban érvényesülnének az adatvédelmi alapelvek és az érintettek jogai.
A második javaslat a blokkláncon végzett adatkezelési műveletek örökös lenyomatát az adatvédelmi megfelelés ellenőrzésére hasznosítaná. Az adatkezelés kollektív mintázatai rögzülnek a blokkláncban, bármikor visszaellenőrizhetőek. Egy elosztott hálózaton futó mesterséges intelligencián alapuló döntéshozatal viselkedését a blokklánc technológia kirajzolhatná, ezzel növelve a folyamat átláthatóságát. Az automatizált döntéshozatallal szemben az egyik leggyakrabban felhozott érv annak indeterminisztikus jellege, a sokak által „black box” jelenségként aposztrofált megmagyarázhatatlanság, amelyen a blokklánc hatékonyan segíthetne. A tájékoztatáson túl ellenőrző funkciója is lehetne annak, hogy az automatikus döntéshozatal alapjául szolgáló személyes adatokkal mi történik a folyamat során.
Egy elosztott hálózaton alapuló mesterséges intelligencia az előnyei mellett a másik oldalról az adatvédelem legújabb nagy kihívása is lehet. Egy központ nélküli, egyenlő pontokból álló nyílt rendszerhez bárki hozzáadhat új adatot. Egy ilyen hálózat leginkább a kollektív emberi intelligenciához hasonlítható. Míg a blokkok individuális adattároló egységként, addig a blokkláncok kollektív információszolgáltató hálózatként funkcionálhatnak. Az adatkezelési mintázatok biztosítanák, hogy valamennyi blokkban azonos elvek alapján kerüljön sor az egyedi információk kezelésére. Egy elosztott rendszerű hálózat a demokratikus mesterséges intelligencia világát hozhatja el, ahol az elosztópontok kis mérete ellehetetlenítené az adatmonopóliumok kialakulását, segítené a kisebb szereplők rácsatlakozását a hálózatra. Másrészről viszont ezáltal mindenki adatkezelővé válna és egy csomópont leállítása nem járna számottevő hatással a hálózat egészére, így az esetleges adatvédelmi jogsértések kiküszöbölése nagyobb nehézséggel járna. A technológia ezen ötvözése még nem került alkalmazásra, azonban erre feltehetően belátható időn belül sor fog kerülni. Ezzel összefüggésben Eszteri Dániel már ebben a fázisban is fontosnak tartja a minél szélesebb tudományos gondolkodást az ötlet által felvetett dilemmák feloldása érdekében.
Az előadást számos gondolatébresztő kérdés követte. A hallgatóság kérdései mentén szóba kerültek az okosszerződések alkalmazásának jogi akadályai, valamint a felhasználók bizalmatlansága a működésével kapcsolatban. Felmerült továbbá a blokklánc, mint a demokratikus információelosztás egyik hatékony lehetősége is. Ezt Eszteri kifejezetten támogatandó ötletnek tartotta, mivel a blokkláncon végigfuttatott információ tulajdonképpen megváltoztathatatlan, ezzel elejét lehetne venni az álhírekkel vagy dezinformációkkal kapcsolatos veszélyeknek. A blokklánc technológia jogi szabályozása tekintetében az előadó úgy vélte: ágazati megfeleltetések szükségesek, egy általános technológiai kódex nem lenne alkalmas a szabályozástól elvárt cél elérésére.
Eszteri Dániel kutatása számos új nézőponttal gazdagíthatta az érdeklődők ismereteit több speciális adatvédelmi kérdés tekintetében is. Az előadó rávilágított a blokklánc technológia és a mesterséges intelligencia adatvédelemhez fűződő szoros kapcsolatára, és ráirányította a figyelmet a terület legaktuálisabb kérdéseire. Ezen problémák további analizálása és a legégetőbb kihívások megnyugtató megválaszolása a jövőbeli kutatások kiemelt feladata annak érdekében, hogy kialakuljanak azok a garanciális feltételek, amelyek között az új technológiák súlyosabb emberi jogi kockázatok nélkül is alkalmazhatók lesznek.
_____________________________________________
Készült a Mesterséges Intelligencia Nemzeti Laboratórium keretében az Innovációs és Technológiai Minisztérium, valamint a Nemzeti Kutatási, Fejlesztési és Innovációs Hivatal támogatásával.
_____________________________________________
Az írás a szerző véleményét tartalmazza, és nem értelmezhető a TK hivatalos állásfoglalásaként.