Ikke haste generative AI-apper til markedet uten å takle personvernrisikoer, advarer den britiske vakthunden
Storbritannias databeskyttelsesvakt har avfyrt sitt mest eksplisitte advarselsskudd til nå mot generative AI-utviklere – og sier at de forventer at de skal ta opp personvernrisikoer før bringe sine produkter ut på markedet.
I et blogginnlegg vil etterfølgende kommentarer fra Information Commissioner’s Offices (ICO) administrerende direktør for regulatorisk risiko, Stephen Almond, komme med på en konferanse senere i dag, har vakthunden advart mot utviklere som skynder seg å ta i bruk den kraftige AI-teknologien uten skikkelig due diligence på personvern og personvern. databeskyttelsesrisikoer.
“Vi vil sjekke om bedrifter har taklet personvernrisikoer før de introduserer generativ AI – og iverksette tiltak der det er risiko for skade på folk gjennom dårlig bruk av dataene deres. Det kan ikke være noen unnskyldning for å ignorere risikoen for folks rettigheter og friheter før utrulling,» skal Almond advare.
Han vil også instruere virksomheter som opererer i det britiske markedet om at de må vise ICO “hvordan de har adressert risikoene som oppstår i deres kontekst – selv om den underliggende teknologien er den samme”.
Dette betyr at ICO vil vurdere konteksten knyttet til en applikasjon av generativ AI-teknologi, med sannsynligvis større etterlevelsesforventninger for helseapper som bruker en generativ AI API, for eksempel kontra detaljhandelfokuserte apper. (tl;dr denne typen due diligence er ikke rakettvitenskap, men forvent ikke å gjemme oss bak “vi bruker bare OpenAIs API, så jeg trodde ikke vi trengte å vurdere personvernet da vi la til en AI chatbot for å forbedre vår seksuelle type linje for helseklinikkfinner-appen…)
“Bedrifter har rett i å se muligheten generativ AI tilbyr, enten det er for å skape bedre tjenester for kunder eller for å kutte kostnadene for tjenestene deres. Men de må ikke være blinde for personvernrisikoen,” vil Almond også si, og oppfordrer utviklere til å: “Bruk tid i begynnelsen på å forstå hvordan AI bruker personlig informasjon, redusere eventuelle risikoer du blir klar over, og deretter rulle ut AI-en din. tilnærming med tillit til at det ikke vil forstyrre kunder eller regulatorer.»
For å få en følelse av hva denne typen risiko kan koste hvis den håndteres feil, gir Storbritannias databeskyttelseslovgivning bøter for brudd som kan ramme opptil 17,5 millioner pund eller 4 % av den totale årlige verdensomspennende omsetningen i det foregående regnskapsåret, avhengig av hva som er høyere.
Et lappeteppe av AI-regler
Som et etablert reguleringsorgan har ICO fått i oppgave å utvikle veiledning for personvern og databeskyttelse for bruk av AI under en tilnærming som myndighetene har angitt i sin nylige AI-hvitbok.
Regjeringen har sagt at den foretrekker et sett med “fleksible” prinsipper og kontekstspesifikk veiledning produsert av sektorfokuserte og tverrgående vaktbikkjer for å regulere AI – slik som konkurransemyndigheten, økonomisk atferdsmyndighet, Ofcom og faktisk ICO – heller enn å innføre et dedikert lovverk for å styre utviklingen av kunstig intelligens, slik det er på bordet over Den engelske kanal i EU.
Dette betyr at det vil dukke opp et lappeteppe av forventninger ettersom den britiske vakthunden utvikler og utarbeider veiledning i løpet av de kommende ukene og månedene. (Det britiske konkurranse- og markedsmyndigheten kunngjorde en gjennomgang av generativ AI forrige måned; mens Ofcom tidligere denne måneden ga noen tanker om hva generativ AI kan bety for kommunikasjonssektoren, som inkluderte detaljer om hvordan den overvåker utviklingen med sikte på å vurdere potensialet skader.)
Kort tid etter at den britiske hvitboken ble publisert, publiserte ICOs Almond en liste med åtte spørsmål han sa at generative AI-utviklere (og brukere) burde stille seg selv – inkludert kjernespørsmål som hva deres juridiske grunnlag for å behandle personopplysninger er; hvordan de vil oppfylle åpenhetsforpliktelser; og om de har utarbeidet en konsekvensanalyse for databeskyttelse.
Dagens advarsel er mer eksplisitt. ICO sier tydelig at den forventer at virksomheter ikke bare tar anbefalingene til etterretning, men handler etter dem. Alle som ignorerer denne veiledningen og forsøker å forhaste apper til markedet, vil generere mer regulatorisk risiko for seg selv – inkludert potensialet for betydelige bøter.
Den bygger også på en teknologispesifikk advarsel vakthunden ga i fjor høst da den pekte ut såkalte «følelsesanalyse»-AIer som for risikabelt for noe annet enn rent trivielle brukssaker (som barneselskapsspill), og advarte denne typen “umoden” biometrisk teknologi medfører større risiko for diskriminering enn potensielle muligheter.
“Vi har ennå ikke sett noen følelsesmessig AI-teknologi utvikle seg på en måte som tilfredsstiller kravene til databeskyttelse, og vi har mer generelle spørsmål om proporsjonalitet, rettferdighet og åpenhet på dette området,” skrev ICO da.
Mens den britiske regjeringen har signalisert at de ikke tror at dedikert lovgivning eller et eksklusivt AI-fokusert tilsynsorgan er nødvendig for å regulere teknologien, har de nylig snakket om behovet for AI-utviklere for å sentrere sikkerheten. Og tidligere denne måneden kunngjorde statsminister Rishi Sunak en plan om å være vertskap for et globalt toppmøte om AI-sikkerhet denne høsten, tilsynelatende for å fokusere på å fremme forskningsinnsats. Ideen vant raskt buy-in fra en rekke AI-giganter.