רשות הגנת המידע בצרפת (CNIL) פרסמה את סדרת ההמלצות השנייה שלה למפתחי מערכות בינה מלאכותית (AI), העונה על מגוון שאלות על אודות הציות ל-GDPR. המלצות שניות אלה מתפרסמות בהמשך לסדרת ההמלצות בת שבעה שלבים שפרסמה הרשות הצרפתית בחודש שעבר. הסדרה החדשה מחולקת לשבע הדרכות, בהן CNIL מתייחסת לנושאים שונים כגון הצורך בבסיס חוקי לעיבוד מידע, שימוש בקוד פתוח וב- web scraping, שמירה על זכויות נושאי המידע, הצורך בניהול סיכונים ובאבטחת מידע ועוד. הרשות גם מפרטת את הצעדים הנדרשים שיש ליישם עבור פיתוח מערכות AI אתיות תוך ציות ל- GDPR.
ההמלצות משתרעות על נושאים אלה -
- כיצד יש לעגן בסיס חוקי לעיבוד המידע, כדוגמת "אינטרס לגיטימי"? ההמלצות מדגישות כי האינטרס חייב להיות חוקי וברור, עיבוד המידע חייב להיות "הכרחי", ויש לבצע איזון אינטרסים ולזהות את ההשפעות השליליות האפשריות הנובעות מעיבוד זה.
- תהליכים נאותים בפיתוח מודלים בעזרת קוד פתוח. כך למשל, CNIL מדגישה כי חובה לפעול לפי עיקרון השקיפות בעת פיתוח המודל, פרסום הקוד הפתוח ששימש לפיתוח המודל ורישיונו, ונקיטה באמצעים שונים להקטנת הסיכונים.
- בעת השימוש ב- web scrapingיש להגדיר מראש קריטריונים מדויקים לאיסוף המידע, ולהחיל מסננים כדי לא לאסוף מידע אישי רגיש או עודף. במקביל, יש לוודא כי מידע לא הכרחי יימחק מיד לאחר איסופו.
- יש לשמור על זכויות נושאי המידע, בהן זכות הגישה למידע, זכות התיקון וזכות המחיקה.
- איזה מידע יש לספק לנושאי המידע, מתי יש למסור את המידע ובאיזו דרך, מהם המקרים בהם אין חובה למסור את המידע, ומהן שיטות העבודה העיקריות כדי להבטיח שקיפות גבוה יותר.
- שיטות עבודה מומלצות לביצוע תהליך ביאור (annotation) איכותי של המידע בצורה אתית ובטוחה.
- הדרכים לפיתוח בטוח של מערכות AI תוך שקילת גורמי הסיכון ויעדי האבטחה העיקריים שיש לקחת בחשבון.
בנוסף לסדרת המלצות אלו, CNIL פרסמה שאלון שנועד לאסוף מידע לשימושה בעתיד לצורך התאמת המלצותיה בנושא יישום ה- GDPR במערכות AI בהתאם למצב הנוכחי בשוק. מקור: CNIL.