Kié a felelősség, ha az AI a te hangodon telefonál?

A mesterséges intelligencia rohamosan fejlődik, már nemcsak szöveget ír vagy képet generál, hanem képes arra is, hogy helyettünk, méghozzá a saját hangunkon telefonáljon.  De milyen jogi és adatvédelmi következményei lehetnek? Erről beszélgettem dr. Albert Ágota LL.M. adatvédelmi, illetve mesterséges intelligencia és technológiai szakjogásszal, a MILTE alelnökével.

Ez tényleg ennyire egyszerű?

Nem. Bár a technológia nagyon csábító lehet, és a különböző AI alkalmazások promóciója is azt sugallja, éljünk ezekkel a „pofon egyszerű” lehetőségekkel, az AI alkalmazása jogilag és adatvédelmileg komoly következményekkel járhat. A GDPR, a fogyasztóvédelmi szabályok és az AI Act egyaránt előírják, hogy transzparensen, biztonságosan, az ügyfeleink jogait és szabadságait tiszteletben tartva működtessünk egy ilyen rendszert. Ez tehát soha nem lehet egy szimpla „plug and play” alkalmazás, hanem előzetes kockázatértékelést és komoly kontrollokat igénylő fejlesztés.

Ha az AI az én hangomon mond valamit, az a külvilág számára úgy tűnik, mintha én mondtam volna. Ha félrevezet, hibázik vagy akár jogellenes kijelentést tesz, a felelősség jó eséllyel engem terhel. Tényleg jogi problémát okozhat, ha az AI az én hangomon beszél?

Az első és legfontosabb, hogy a beszélgető partnerünket tájékoztatnunk kell arról, hogy géppel kommunikál. A gép azonban nem lehet felelős azért, amit és ahogyan mond – a gép mögött mi állunk, emberek. Jelen esetben az a felelős, akinek az érdekében a gép működik, azaz az, aki meghatározza a rendszer célját és eszközeit. Ebben az esetben a külvilág számára a gép mi vagyunk, tehát ha az AI félrevezető vagy jogsértő állítást tesz, ezért a felelősség jó eséllyel a mienk. Ez olyan reputációs és jogi kockázat, amit még a technológia élesben alkalmazása előtt figyelembe kell vennünk és amit kezelnünk kell.

Telefonos ügyintézés közben szinte mindig személyes adatok is előkerülnek. Az AI tehát adatkezelést végez. Mi a helyzet a GDPR-ral, ha az AI hív fel valakit helyettem?

Az AI ebben az esetben egy olyan rendszer, ami minket, azaz az adatkezelőt segíti céljainak elérése érdekében. Az adatok kezelése során megfelelő jogalapra kell hivatkoznunk, adatvédelmi hatásvizsgálatot kell végeznünk, és biztosítanunk kell az ügyfelek (érintettek) jogait. A GDPR itt teljes mértékben alkalmazandó, nincs kivétel csak azért, mert gép végzi a hívást.

Sok szolgáltató cégnek van ma már okos vagy kevésbé okos chatbotja, amivel például az előzetes egyeztetést, azonosítást elvégezhetjük. Vagy akár időpontot is kérhetünk. Tény azonban, hogy azoknál pontosan tudhatjuk, hogy egy algoritmus alapú chatbottal, vagy akár AI-val kommunikálunk, míg ez az új javaslat azt mutatja, mintha mi magunk beszélgetnénk az ügyféllel. Mennyiben más jogilag a két helyzet? Kell a másik félnek tudnia, hogy nem emberrel, hanem AI-val beszél?

Igen. A chatbotnál világos, hogy algoritmussal beszélünk. A mi esetünkben, ha az AI-t emberként tüntetjük fel, az félrevezetés. Az AI Act kimondja: az embereknek joguk van tudni, hogy AI-val kommunikálnak. Tehát az ügyfeleinket mindig tájékoztatnunk kell arról, hogy valójában egy géppel beszélnek, nem pedig velünk.

És ha egy cég a saját vezetőjének, vagy akár a reklámarcának alkalmazott színész AI-hangjával reklámoz, vagy ügyfeleket keres meg?

Ez jogszerű megoldás lehet, de csak akkor, ha az érintett személy, például a színész hozzájárult a hangjának ily módon felhasználásához. Ha nem, az nemcsak személyiségi jogi, hanem adatvédelmi problémát is okozhat nekünk, mivel jogsértést követhetünk el. Ráadásul a hang – bizonyos körülmények között - biometrikus adatnak is minősülhet, így különleges védelmet igényel.

Milyen adatbiztonsági veszélyeket látsz ebben a technológiában?

Ilyen veszély lehet többek között például az adatszivárgás, a hanggal való visszaélés (deepfake), az adatmérgezés, és a jogosulatlan hozzáférés is. Ha ezeket a kockázatokra nem készülünk fel és nem kezeljük ezeket, az AI-hanghívásos megoldásunk kifejezetten sérülékeny lehet. Gondoljunk csak arra, ha a mi általunk használt hangot használják fel például banki csaláshoz.

Akkor mit tegyen egy vállalat, ha mégis szeretné használni ezt a technológiát?

Először is, legyünk tisztában a jogi követelményekkel, ismerjük meg az AI Act és a GDPR vonatkozó rendelkezéseit is. Végezzünk adatvédelmi hatásvizsgálatot, mely során vegyük számba a technológia használatából eredő kockázatokat és határozzunk meg olyan intézkedéseket, amelyek révén ezek a kockázatok kezelhetőek, azaz jelentős mértékben csökkenthetők, illetve akár el is tüntethetők. Ilyen kockázatcsökkentési lehetőség például a kezelt személyes adatok mennyiségének minimalizálása, az erős és hatékony biztonsági intézkedések alkalmazása. Az ügyfelek felé – még a hívás elején – transzparens tájékoztatást kell biztosítanunk. Az AI rendszerünket folyamatosan monitorozzuk, és ha olyan működést tapasztalunk, amely nem felel meg a szándékainknak, avatkozzunk be, akár újabb védelmi intézkedések bevezetésével. Hogy könnyebb legyen a dolgunk, érdemes először kicsiben, kevésbé érzékeny folyamatokkal kezdenünk.

Kinek éri meg ez a technológia?

Amennyiben például nagy call-centerünk van és standardizált ügyfélfolyamatokat kezelünk, valamint megvan a kapacitásuk a jogi-biztonsági megfeleléshez, mindenképpen érdemes az új technológiában gondolkodnunk. Kisvállalkozóként azonban sokszor nagyon drága a megfelelő AI és adatvédelmi kockázatmenedzsment kialakítása, és egyelőre még többe kerülhet az ügyfeleink bizalomvesztése, mint amennyit a technológia spórolna nekünk.

Írta: Dezslik Magdolna 
Mesterséges intelligencia és technológiai jogi szakember
MILTE elnök