قوانین جهانی در عصر هوش مصنوعی، چه‌طور از حریم شخصی دفاع می‌کند؟

در قسمت پیشین گفتیم که هوش مصنوعی به‌واسطه توانایی‌ا‌ش در جمع‌آوری حجم عظیمی از داده‌ها، طبقه‌بندی آنها و تسهیل پردازش برای منظورهایی که تا پیش از این، الگوریتمی برای‌شان ساخته نشده بود، برای شرکت‌ها در زمینه شناخت و پیش‌بینی‌پذیر ساختن رفتار مشتری‌ها جذابیت پیدا کرده است، ولی در عین حال چالش‌های مهمی را هم در زمینه امنیت و حریم شخصی افراد به‌وجود می‌آورد.
در کنار این توانایی‌های هوش مصنوعی و چالش‌های همراه خودش، نباید از این واقعیت که این فناوری به نوعی یک ماشین یادگیری است و سرعت توسعه و تحول آن بسیار زیاد است، غفلت کرد.
 این خاصیت رشدپذیری و تحول سریع هوش مصنوعی همواره مسائل جدیدی را با خود به همراه می‌آورد. بنابراین هم چالش‌های رو به رشد و در عین حال جدید و متنوع، ضرورت بازبینی قوانین موجود و یا حتی تنظیم قوانین جدیدی را در حوزه حفاظت حریم شخصی می‌طلبد.
در این مقاله به اقدامات و تلاش‌ چند کشور و نهادهای منطقه‌ای اتحادیه ‌اروپا در این زمینه می‌پردازیم.

تجربه‌های مختلف در زمینه قانون‌گذاری:
با توجه به مطالب طرح شده که ضرورت تنظیم و وضع مقررات برای هوش مصنوعی را نشان می‌دهد، قانون‌گذاران در عین حال باید حواس‌جمع باشند که وضع این مقررات منجر به محدود کردن این فناوری بسیار پر بازده نشود یا به عبارتی دقیق‌تر مانع از نوآوری‌های جدید نشود. هوش مصنوعی این روزها حتی می‌تواند تا سطح یک فناوری راهبردی به حساب بیاید. پس نباید تعجب کرد که قدرت‌های فناروی دنیا به وضع بسته‌های ویژه مقرراتی در این حوزه روی بیاورند.

اتحادیه‌اروپایی:
در اتحادیه‌اروپا، با وجود داشتن مقررات عمومی حفاظت از داده  (GDPR) که ماده 15 آن به صراحت ناظر بر حق دسترسی موضوع‌داده‌ها  و تصمیم‌گیری خودکار(مرتبط‌ترین مفهوم به هوش مصنوعی) است، کمیسیون اروپایی هم (یک نهاد تخصصی کاملا فراملی اتحادیه اروپا) قانون ویژه و مخصوصی را برای هوش مصنوعی در سال 2021 پیشنهاد می‌دهد.
قبل از توضیح لایحه پیشنهادی لازم به ذکر است که مفهوم موضوع‌داده‌ها اطلاق بر افرادی است که به شکل مستقیم و یا حتی غیر مستقیم از طریق یک شناسه در فضای مجازی از اسم یا شماره آی‌دی گرفته تا موقعیت مکانی یا تصویر پروفایل یا هر عامل خاص فیزیکی، فیزیولوژی، ذهنی، ژنیتکی یا حتی اقتصادی و در نهایت هویت اجتماعی، در جهان غیر مجازی قابل شناسایی می‌شوند.
این لایحه پیشنهادی علاوه بر کنترل توسعه، بازاریابی و استفاده از هوش مصنوعی در اتحادیه اروپا، به منظور هماهنگی قوانین در همین حوزه هم است.
 این قانون شرکای اتحادیه‌اروپا یعنی کشورهای یا نهادهایی که داده شهروندان اتحادیه‌اروپا در آنجا پردازش می‌شوند را هم در برخی از صلاحیت‌ها شامل می‌شود.
این لایحه چهار هدف اصلی را دنبال می‌کند:
1. اطمینان از اینکه سیستم‌های هوش مصنوعی در سراسر اتحادیه‌اروپا امن است و به حقوق و ارزش‌های اساسی افراد را احترام بگذارد.
 2. تقویت و سرمایه‌گذاری و نوآوری در هوش مصنوعی
 3. تقویت حاکمیت و اجرای قوانین
 4. ترغیب به داشتن یک بازار واحد اورپایی برای هوش مصنوعی
از 4 هدف اینطور بر می‌آید که به‌واسطه اهمیت حفاظت از حریم شخصی، بلوک  اتحادیه اروپا به نوعی اهداف محافظه‌کارانه از جمله ترغیب به ساخت یک بازار واحد در زمنیه هوش مصنوعی را در کنار تقویت حاکمیت و اجرای قانون با چشم‌انداز توسعه سرمایه‌گذاری‌ها و نوآوری‌ها دنبال می‌کند. (Usercentrics, 2022)

برزیل:
در برزیل هم قانون عمومی حفاظت از داده‌های شخصی  در سال 2020 تصویب و اجرا شده است. این قانون مانند قانون مشابه خود در اتحادیه‌اروپا هم  به موضوع‌داده‌ها اشاره داشته و  بر حق درخواست بازبینی تصمیمات اتخاذ شده صرفاً بر اساس پردازش خودکار داده‌های شخصی که بر منافع افراد تأثیر می گذارد، تاکید کرده است. بد نسیت بدانید که این قانون برزیل در راستای  قوانین GDPR اتحادیه‌اروپا و قوانین پیشنهادی قبلی در کانادا است.
 این قانون همچنین به کنترل‌کننده‌ها این الزام را وارد می‌کند که در صورت نیاز، اطلاعات واضح و کافی در مورد معیارها و رویه‌های مورد استفاده در تصمیم‌گیری‌های خودکار، با رعایت اسرار تجاری و صنعتی ارائه دهند.
در صورت خیلی حساس بودن اسرار و یا استناد به رازداری از سوی شرکت‌ها، مرجع ملی حفاظت از داده‌ها (ANPD) برای بررسی جنبه‌های تبعیض‌آمیز پردازش خودکار داده‌ها وارد عمل می‌شود. (Usercentrics, 2022)

آفریقای جنوبی:
فصل هشتم قانون حفاظت از اطلاعات شخصی  (POPIA) مقلب به پوپی که در 2020 اجرایی شده است. این قانون نیز ناظر بر حقوق موضوع‌داده‌ها مرتبط به بازرایابی مستقیم به‌وسیله حوزه‌های ارتباطات الکترونیکی ناخواسته، دایرکتوری‌ها و  تصمیم‌گیری‌های خودکار است. بند 71 و بند 3 این قانون مشخصاً به تصمیم‌گیری‌های خودکار مرتبط هستند.
در قانون پوپی تصریح شده که یک موضوع‌داده ضرروتاً مشمول عواقب قانونی ناشی از  تصمیم‌سازی خودکار بر مبنای اطلاعات فردی او از جمله عملکرد او در محل کار، موقعیت مکانی، سلامت و ترجیحات شخصی، رفتار یا سایر موارد قرار نمی‌گیرد. بند 57 این قانون هم کم و بیش به مباحث هوش مصنوعی ارتباط دارد. این بند ناظر بر مجوز قبلی برای پردازش داده‌ها است. به ویژه اینکه اگر «طرف مسئول» یعنی همان شرکت فناوری قصد داشته باشد داده‌های شناسه‌ایی منحصربه‌فرد موضوع‌داده‌ها را پردازش کند، باید قبل از پردازش مجوز قبلی را دریافت کند.
این ضرورت دریافت مجوز شامل زمانی که شرکت مسئول برای هدفی غیر از تنها هدفی که در ابتدا و به طور خاص برای جمع‌آوری داده‌ها در نظر گرفته شده بود و یا با برنامه‌ای برای پیوند دادن اطلاعات شناسه منحصر به فرد با سایر اطلاعاتی که طرف مسئول پردازش کرده است را شامل می‌شود. (Usercentrics, 2022)
در نتیجه در قوانین آفریقای جنوبی بحث رضایت شخص موضوع‌داده در ارتباط با هوش مصنوعی و پردازش‌های جدید مطرح می‌شود و اگر پردازش به‌روزشده‌ای روی داده‌های قبلی انجام شود یا لینک کردن آنها به سایر داده‌های از قبل پردازش‌شده اگر همراه با رضایت موضوع‌داده‌ای نباشد یک عمل نامشروع خواهد بود.

آمریکا:
در آمریکا قانونی مشخص در زمینه هوش مصنوعی و حریم شخصی در سطح فدرال وجود ندارد. اما در هرحال و از  آنجایی که هوش مصنوعی با حجم عظیمی از داده‌ها سر و کار دارد، شرکت‌‎ها در آمریکا به عنوان طرف ثالث و کنترل‌کننده‌های داده‌ای‌شان باید مراقب باشند تا از الزامات قانونی برای حفاظت و استفاده از داده‌ها برای تجزیه و تحلیل هوش مصنوعی پیروی کنند.
قانون حقوق حفظ حریم خصوصی ایالت کالیفرنیا  (CPRA) که در سال 2023 اجرا می‌شود، به شکل روشن‌تری به هوش مصنوعی و استفاده از آن می‌پردازد.
بر اساس این قانون، مصرف‌کنندگان حق درک (و انصراف از) فناوری‌های تصمیم‌گیری خودکار را دارند که شامل هوش مصنوعی و یادگیری ماشینی می‌شود. (Usercentrics, 2022)
همچنین طبق این قانون تمام کسب‌وکارهای هوشمند ضمن احترام به حق دسترسی و انصراف کاربران موضوع‌داده از پردازش‌های موردنظر شرکت فناوری باید در زمینه منطق دخیل  در هر پردازش تصمیم‌گیری‌ خودکار خود پاسخگو باشند.

سخن نهایی
در این مقاله با چند نمونه آخرین تلاش کشورها و نهادهای بین‌المللی برای هرچه پاسخگوتر کردن هوش مصنوعی را بررسی کردیم.
تمام این تلاش‌ها به نوعی مهار غولی بی شاخ و دم با توانایی جمع‌آوری بی‌شمار داده‌های بی‌نهایت متنوع است که به راحتی می‌تواند حریم شخصی افراد  یا به اصطلاح موضوع‌داده‌ها را زیر پا بگذارد.
کشورها و اتحادیه‌اروپایی تلاش کردند ضمن ایجاد سازوکاری برای نظارت بر فعالیت شرکت‌های کسب‌وکاری هوشمند یعنی همان‌هایی که با داده‌های افراد و پردازش آنها سروکار دارند، آن‌ها را وادار به پاسخگویی به افراد کرده و حتی در آفریقای‌‎جنوبی، آمریکا و برزیل به شکل ضمنی یا صریح کسب رضایت فرد موضوع‌داده مشروط انجام پردازش‌ها با کاربری‌های جدید یا لینک کردن داده‌های قبلی با داده‌های پردازش دیگری شده است.