Τεχνητή νοημοσύνη και διαχείριση δεδομένων: Ευημερία ή Απειλή

Oι μεγαλύτερες εταιρίες τεχνολογίας παγκοσμίως (Google, Microsoft, Meta) που αναπτύσσουν λογισμικό τεχνητής νοημοσύνης διαθέτουν συνολικά πάνω από 450 κέντρα δεδομένων, εκ των οποίων μόλις το 5.26% βρίσκεται εντός των συνόρων της ΕΕ, ποσοστό αρκετά χαμηλό σε σύγκριση με το ποσοστό των ευρωπαίων χρηστών της τεχνητής νοημοσύνης (32%). Άρα, ένα πολύ μικρό ποσοστό των κέντρων δεδομένων διέπεται από τους κανόνες της Ευρωπαϊκή Ένωση, ενώ το κοινό που εξυπηρετούν αυτά τα δεδομένα είναι κατά ένα σημαντικό βαθμό ευρωπαϊκό. Δεδομένου του χαμηλού αριθμού κέντρων δεδομένων και εδρών εταιριών τεχνολογίας εντός ΕΕ, ο έλεγχος με φυσική παρουσία καθίσταται σπάνιος και σίγουρα ημιτελής τονίζουν σε άρθρο τους για τις προκλήσεις της νέας τεχνολογικής πραγματικότητας δύο νέοι επιστήμονες η Δρ Ευγενία Λειβαδάρου και ο Σταμάτης Μυλωνογιάννης. Διαβάστε ολόκληρο το άρθρο:


«Στο πλαίσιο της Ευρωπαϊκής Ένωσης, όπου επικρατεί η αντίληψη της ισόρροπης προαγωγής της τεχνολογίας και της προστασίας αξιών όπως αυτή της ανθρώπινης αξιοπρέπειας, η ανάπτυξη της τεχνητής νοημοσύνης (ΤΝ) με καταιγιστικούς ρυθμούς δημιουργεί την ανάγκη της προστασίας των προσωπικών δεδομένων των χρηστών, τόσο με τη δημιουργία του απαραίτητου νομικού πλαισίου, όσο και με την ανάπτυξη τεχνολογιών που να διασφαλίζουν την προσβασιμότητα στα προσωπικά δεδομένα επιλέξιμων προσώπων. Εν όψει των αναγκών αυτών, παρίσταται επιβεβλημένη η συνεργασία νομικών και ειδικών της τεχνολογίας, ώστε να μεγιστοποιείται η προστασία των προσωπικών δεδομένων.

Σύμφωνα με τον Κανονισμό 2024/1689 της ΕΕ για την ΤΝ, γνωστό ως AI Act, οι εταιρίες τεχνολογίας έχουν, μεταξύ άλλων, την υποχρέωση προστασίας των προσωπικών δεδομένων, δηλαδή οποιασδήποτε πληροφορίας καθιστά ένα άτομο άμεσα ή έμμεσα ταυτοποιήσιμο (Άρ. 3 (1), Κανονισμός (ΕΕ) 2018/1725). Ειδικότερα, στην ΑΙ Act ορίζεται ότι τα δεδομένα των χρηστών πρέπει να είναι προσπελάσιμα μόνο από «ειδήμονες» που διαθέτουν την απαιτούμενη τεχνολογική ικανότητα, με τον περιορισμό του απολύτως αναγκαίου μέτρου για την υλοποίηση της συγκεκριμένης εφαρμογής ΤΝ. Δεδομένου ότι ο όρος «ειδήμονας» δεν είναι νομικός, γεννάται το ζήτημα αυστηρού ορισμού τόσο της έννοιας «ειδήμονας» όσο και της έννοιας του αναγκαίου μέτρου πρόσβασης σε προσωπικά δεδομένα για σκοπούς ΤΝ. Συναφώς, προκύπτει το ζήτημα της προστασίας των προσωπικών δεδομένων των χρηστών, και το εύρος των δεδομένων που εν δυνάμει θα χρησιμοποιηθούν σε εφαρμογές ΤΝ.

Ο όγκος και η οικονομική διάσταση των προσωπικών δεδομένων που συλλέγονται καθημερινά είναι αξιοσημείωτες παράμετροι. Για παράδειγμα, μόνο η Google συλλέγει καθημερινά 20 δις. Gigabyte (ή 20 Petabytes) δεδομένων από τους χρήστες. Το πλέον μετρήσιμο, με οικονομικούς όρους, παράδειγμα αξιοποίησης προσωπικών δεδομένων είναι οι διαφημιστικές καμπάνιες. Τα διαφημιστικά έσοδα των Αμερικάνικων Εταιριών από στοχευμένες καμπάνιες διαφήμισης στις ΗΠΑ ήταν 83 δις $. το 2020, περίπου 289 $. ανά χρήστη του οποίου τα δεδομένα είχαν συλλεχθεί με σχετική πληρότητα.

Στον τομέα της παραοικονομίας των προσωπικών δεδομένων, τα ποσά αυτά αυξάνονται ραγδαία. Ενδεικτικά, ένας ιατρικός φάκελος πωλείται στο «Σκοτεινό Διαδίκτυο» (Dark Web) έως και για 1000 $, ανάλογα με την πληρότητά του, ενώ δεδομένα σύνδεσης σε υπηρεσία πληρωμών έως και για 200 $. Το πλέον ανησυχητικό, είναι ότι τα δεδομένα ταυτοποίησης, αν είναι πλήρη και ακριβή, πωλούνται ακριβότερα - έναντι 2.000 € - από τις πληροφορίες μιας πιστωτικής κάρτας, που κοστίζουν μόλις 100 €. Η ύπαρξη τιμοκαταλόγου και η διακίνηση δεδομένων στο Dark Web, αποδεικνύει τη δημιουργία μαύρης αγοράς και την πρόθεση κακόβουλης χρήσης προσωπικών δεδομένων.

Καθημερινά, 5.44 δις. άνθρωποι χρησιμοποιούν το διαδίκτυο, εκ των οποίων 3.05 δις. χρησιμοποιούν το Facebook. Εάν κάθε φάκελος αποτελεί ένα σχετικά πλήρες προφίλ χρήστη στο Facebook, τότε τα δεδομένα που πιθανόν έχουν κλαπεί μόνο από την εταιρία Meta κοστολογούνται περίπου στα 60 δις $. Το 2023 μόνο, το 73% των εταιριών αποθήκευσης δεδομένων δέχθηκαν κυβερνοεπιθέσεις, από τις οποίες κλάπηκαν πάνω από 17 δις. προσωπικοί φάκελοι χρηστών του διαδικτύου. Εξ αυτών, το 55% περιείχαν προσωπικά δεδομένα χωρίς ιδιαίτερη οικονομική αξία, πέραν της χρήσης τους για διαφημιστικούς σκοπούς. Ωστόσο, το 22.5% των δεδομένων που εκλάπησαν, περιείχε πλήρη στοιχεία ηλεκτρονικής ταυτοποίησης σε πλατφόρμες ηλεκτρονικών πληρωμών και πορτοφολιών κρυπτονομισμάτων, ενώ το 2.5% περιείχε πλήρεις ιατρικούς φακέλους. Μια διαρροή τέτοιου μεγέθους έχει ανυπολόγιστες επιπτώσεις σε μεμονωμένους χρήστες και πρέπει να θορυβήσει τις αρμόδιες Ευρωπαϊκές αρχές, ώστε να δράσουν άμεσα.

Αν συνυπολογίσουμε και την εκτιμώμενη ανάπτυξη της βιομηχανίας ΤΝ, από 200 δις. $ και 250 εκ. χρήστες στα 1.8 τρις $ και 700 εκ. χρήστες μέχρι το 2030, αναμένεται γίνει επιτακτική η χρήση δεδομένων για την εκπαίδευση των αλγορίθμων AI. Συναφώς, η αξία των κλεμμένων δεδομένων θα μπορούσε να τριπλασιαστεί, ενεργοποιώντας εκ νέου και ενισχύοντας τη μαύρη αγορά και τις κυβερνοεπιθέσεις. Είναι πρόδηλη συνεπώς η ανάγκη για βελτίωση της φύλαξης και για τον περιορισμό του παραεμπορίου των προσωπικών δεδομένων, που απειλεί το σύνολο των χρηστών του διαδικτύου.

Προκειμένου να διαφυλαχθεί η ακεραιότητα της αποθήκευσης και χρήσης των δεδομένων των χρηστών, οι ίδιες οι εταιρίες - κυρίως για διαφημιστικούς λόγους - έχουν ήδη θεσπίσει κώδικες δεοντολογίας που διέπουν την συλλογή, χρήση και επεξεργασία των προσωπικών δεδομένων καθώς και τον τρόπο χρήσης οποιασδήποτε πληροφορίας προκύπτει από αυτά. Ωστόσο, οι κώδικες αυτοί, συνοψίζονται σε ορισμένους γενικόλογους πλην σημαντικούς για τους χρήστες κανόνες. Ειδικότερα, προβλέπουν διαφάνεια προς τις αρμόδιες αρχές και ορισμένους περιορισμούς ώστε να μην συλλέγονται περιττές πληροφορίες.

Εξίσου σημαντική, είναι και η υποχρέωση παροχής πρόσβασης και τροποποίησης των δεδομένων στον ίδιο τον χρήστη, που προβλέπεται από τις περισσότερες εταιρίες τεχνολογίας και επιβάλλεται από τον Γενικό κανονισμό για την προστασία των δεδομένων (GDPR). Στις συγκεκριμένες προβλέψεις παρατηρείται η προσέγγιση μιας διαφανούς αξιοποίησης των δεδομένων των χρηστών, ωστόσο προκύπτουν αποδεδειγμένα κενά σε θέματα ασφάλειας των δεδομένων τόσο στο φυσικό χώρο όσο και στον κυβερνοχώρο.

Τα προσωπικά δεδομένα που συλλέγουν οι εταιρίες τεχνολογίας, αποθηκεύονται στα κέντρα δεδομένων τους (Data Centers). Οι μεγαλύτερες εταιρίες τεχνολογίας παγκοσμίως (Google, Microsoft, Meta) που αναπτύσσουν λογισμικό τεχνητής νοημοσύνης διαθέτουν αθροιστικά πάνω από 450 κέντρα δεδομένων, εκ των οποίων μόλις το 5.26% βρίσκεται εντός των συνόρων της ΕΕ, ποσοστό αρκετά χαμηλό σε σύγκριση με το ποσοστό των ευρωπαίων χρηστών της τεχνητής νοημοσύνης (32%). Συνεπώς, ένα πολύ μικρό ποσοστό των κέντρων δεδομένων διέπεται από τους κανόνες της Ευρωπαϊκή Ένωση, ενώ το κοινό που εξυπηρετούν αυτά τα δεδομένα είναι κατά ένα σημαντικό βαθμό ευρωπαϊκό. Δεδομένου του χαμηλού αριθμού κέντρων δεδομένων και εδρών εταιριών τεχνολογίας εντός ΕΕ, ο έλεγχος με φυσική παρουσία καθίσταται σπάνιος και σίγουρα ημιτελής.

Συχνά οι αρμόδιες αρχές δέχονται καταγγελίες από χρήστες και εργαζόμενους εταιριών τεχνολογίας που όμως δεν ερευνώνται σε βάθος λόγω της περιορισμένης δικαιοδοσίας της ΕΕ να επεμβαίνει και να ελέγχει εταιρίες που εδρεύουν σε άλλες χώρες. Ένα σημαντικό πλεονέκτημα από την ανάπτυξη εταιριών τεχνολογίας και data centers εντός ΕΕ, πέραν της δημιουργίας θέσεων εργασίας, είναι η διασφάλιση των προσωπικών δεδομένων των Ευρωπαίων πολιτών, μία ανάγκη υποτιμημένη αλλά καθόλα σημαντική.

Ωστόσο, πέραν της ελλιπούς πρόσβασης των αρμόδιων οργάνων της ΕΕ στα κέντρα αποθήκευσης δεδομένων, ιστορικά αποδεικνύεται η αδυναμία της ΕΕ να προλαμβάνει την παράβαση των νόμων που θεσπίζει και να ελέγχει τις εταιρίες τεχνολογίας ως προς την εφαρμογή τους. Συγκεκριμένα, από τα μέσα της δεκαετίας του 90’, εταιρίες τεχνολογίας όπως η DoubleClick, συνέλλεγαν δεδομένα από τους χρήστες. Πάνω από 20 χρόνια αργότερα, και μετά από μία αποτυχημένη προσπάθεια της ΕΕ να προστατεύσει τα προσωπικά δεδομένα των χρηστών του διαδικτύου το 1995 (Data Protection Directive 95/46/EC), κατάφερε μέσω του γενικού κανονισμού προστασίας δεδομένων (GDPR, 2018) να εξασφαλίσει σε έναν ικανοποιητικό βαθμό την ασφάλεια των εν λόγω δεδομένων.

Σε παρόμοια τροχιά κινήθηκε η ΕΕ και όσον αφορά άλλους τεχνολογικούς τομείς. Το 2020 η ΕΕ εξέδωσε νομοθέτημα για τα κρυπτονομίσματα και την τεχνολογία blockchain (MiCA proposal ). Η εν λόγω τεχνολογία χρησιμοποιείται ευρέως από το 2014, ενώ τα κρυπτονομίσματα υπάρχουν από το 2008. Παρά την χρονική ανταπόκριση που χρειάστηκε σχεδόν 12 έτη, το εν λόγω νομοθέτημα δεν έχει εφαρμοστεί ακόμα. Τα αντίστοιχα νομοθετήματα για την προστασία των διαδικτυακών εμπορικών δραστηριοτήτων από το παρεμπόριο, τον αθέμιτο ανταγωνισμό και τα μονοπώλια (Digital Services Act (DSA) and Digital Markets Act (DMA)) δημιουργήθηκαν το 2020 και θα εφαρμοστούν καθολικά εντός του 2024, ενώ το διαδικτυακό εμπόριο υφίσταται από την δεκαετία του 1990.

Πέραν των καθυστερήσεων, η ΕΕ πρέπει να αντιμετωπίσει ακόμα μία πρόκληση. Αυτή του εντοπισμού των παραβάσεων του κανονισμού της. Παραβάσεις προκύπτουν από τις αναφορές ασφαλείας των ίδιων των εταιριών καθώς και από αναφορές οποιασδήποτε κλοπής δεδομένων. που επιβάλλεται από τον γενικό κανονισμό προστασίας δεδομένων (GDPR). Τέτοιες αναφορές είναι υποχρεωτικό να συμβαίνουν εντός 72 ωρών από την στιγμή που έγιναν αντιληπτές, όπως και έγινε στην περίπτωση της 23andMe τον Οκτώβριο του 2023 και της DarkBeam τον Σεπτέμβρη του 2023.

Ακόμα και στην περίπτωση παραβάσεων, τα πρόστιμα είναι αμελητέα σε σχέση με τα κέρδη από τη χρήση των δεδομένων. Οι αρμόδιες αρχές της Ευρωπαϊκής Ένωσης έχουν επιβάλλει πολυάριθμες οικονομικές κυρώσεις σε εταιρίες τεχνολογίας που παραβίασαν τα νομοθετήματά της. Ενδεικτικά, το 2023 οι εταιρίες Meta, Tiktok, Criteo και WhatsApp χρεώθηκαν αθροιστικά 1.6 δις. ευρώ για ελλιπή προστασία προσωπικών δεδομένων, αθέμιτη επεξεργασία αυτών και συλλογή δεδομένων χωρίς την συναίνεση του χρήστη. Παρά τα εντυπωσιακά αυτά ποσά, το πρόβλημα δεν επιλύεται, καθώς οι οικονομικά υπερμεγέθεις και εύρωστες εταιρίες στις οποίες επιβάλλονται, κερδίζουν αρκετά από την αθέμιτη επεξεργασία και χρήση των δεδομένων ώστε να υπερκαλύπτονται οι ζημιές αυτές. Ενδεικτικά, μόνο οι εταιρίες TikTok και Meta είχαν τζίρο 16.1 δις. και 134.9 δις . αντίστοιχα (2.05 δις. $ και 23.14 δις. $ αντίστοιχα εντός ΕΕ και Ηνωμένου Βασιλείου).

Παρά τις προκλήσεις, οφείλουμε να αναγνωρίσουμε ότι το AI Act είναι το πρώτο καθολικής ισχύος νομοθέτημα για την ΤΝ και συνεπώς θα λειτουργεί με την λογική της δοκιμής και επιδιόρθωσης. Παράλληλα, υπάρχουν μέτρα για την πρόληψη των υποκλοπών (Firewalls, Cloud Security) που διασφαλίζουν σε σχετικά ικανοποιητικό βαθμό τα προσωπικά δεδομένα, χωρίς υψηλό κόστος. Τέλος, ο κίνδυνος δεν είναι άμεσος καθώς τα μοντέλα παραγωγικής ΤΝ δεν αναπαράγουν τα δεδομένα με τα οποία τροφοδοτούνται από τον χρήστη, επομένως προστατεύονται από τον ίδιο τον τρόπο λειτουργίας της ΤΝ.

Η ραγδαία ανάπτυξη της χρήσης ΤΝ καθώς και τα οικονομικά οφέλη από την επιχειρηματική δραστηριότητα εταιριών τεχνολογίας, είναι ευκαιρία για την αγορά της Ε.Ε.. Γι’ αυτό και κρίνεται απαραίτητη η επιτάχυνση των διαδικασιών δημιουργίας νομικού πλαισίου για την διευκόλυνση των εταιριών που αναπτύσσουν εφαρμογές ΤΝ εντός Ε.Ε. Τα κέντρα δεδομένων συμβάλλουν θετικά στην οικονομία μέσο των φόρων, των θέσεων εργασίας που δημιουργούν και την έρευνα και ανάπτυξη στον τομέα της τεχνολογίας.

Συνεπώς, η ΕΕ καθίσταται υπεύθυνη για την εξασφάλιση ενός ελκυστικού για τις επιχειρήσεις, περιβάλλοντος που θα προστατεύει τα δεδομένα που συλλέγουν. Η δημιουργία ενός τέτοιου περιβάλλοντος απαιτεί αφενός φορολογικές και γραφειοκρατικές μεταρρυθμίσεις ώστε να προσελκύονται οι επενδυτές και να καταστεί η Ευρώπη ανταγωνιστική σε σύγκριση με άλλες αγορές. Το πλέον σημαντικό τόσο για τις επιχειρήσεις όσο και για τους χρήστες του διαδικτύου είναι η διασφάλιση της εμπειρίας χρήσης, μέσο της αποφυγής παραβάσεων και όχι την εκ των υστέρων επιβολή κυρώσεων.

Αυτό μπορεί να επιτευχθεί με την ανάπτυξη κατάλληλου λογισμικού το οποίο θα προβλέπει, θα εντοπίζει εν δυνάμει παραβάσεις και θα παρέχει δικλείδες ασφαλείας για την προστασία των προσωπικών δεδομένων. Τέλος, η αξιολόγηση των παραβάσεων θα πρέπει να συνοδεύεται από δίκαιες και αναλογικές κυρώσεις, ώστε να ωθούν τις εταιρίες τεχνολογίας στην προληπτική μέριμνα για την αποφυγή μελλοντικών υποκλοπών. Η διασφάλιση των προσωπικών δεδομένων θα πρέπει να είναι άρρηκτα συνδεδεμένη με την κανονιστική συμμόρφωση και με την ευθύνη των εταιριών προς του χρήστες του διαδικτύου».



* Δρ Λειβαδάρου Ευγενία, Τεχνικός Σύμβουλος ESG & Καινοτομίας, Δικηγορική Εταιρεία Φορτσάκης, Διακόπουλος & Συνεργάτες, Μέλος Εθνικής Αρχής Προσβασιμότητας, Μέλος ΔΣ Ομίλου Ελλάκτωρ.

** Μυλωνογιάννης Σταμάτης, Σύμβουλος ΙΤ, Δικηγορική Εταιρεία Φορτσάκης, Διακόπουλος & Συνεργάτες, Τελειόφοιτος Οικονομικού Πανεπιστημίου Αθηνών, Τμήμα Διοικητικής Επιστήμης και Τεχνολογίας.