Czy tracimy kontrolę nad naszymi danymi za sprawą sztucznej inteligencji?
Równowaga między sztuczną inteligencją, bezpieczeństwem informacji i własnością danych.
Czy rzeczywiście tracimy kontrolę nad naszymi informacjami? To pytanie staje się coraz bardziej aktualne w erze sztucznej inteligencji (Artificial Intelligence – AI). Kluczowe zagadnienia w obszarze bezpieczeństwa informacji i ochrony danych nie dotyczą wyłącznie „własności danych”, lecz przede wszystkim kontroli nad danymi, odpowiedzialności za ich przetwarzanie oraz zgodności z określonymi wymaganiami prawnymi i regulacyjnymi. W praktyce oznacza to, że istotne jest nie tyle „kto jest właścicielem danych”, lecz kto podejmuje decyzje o ich wykorzystaniu oraz kto ponosi odpowiedzialność za ich bezpieczeństwo.
Rola AI w zalewie danych: szanse i wyzwania.
Współczesny świat mierzy się z wykładniczym wzrostem ilości danych. Z jednej strony rozwój modeli AI wymaga ogromnych zbiorów danych (tzw. data-hungry systems) gdzie organizacje intensywnie gromadzą dane, aby zwiększyć skuteczność modeli. Z drugiej strony systemy AI same generują nowe dane (logi, predykcje, interakcje, dane sensoryczne) i powstaje efekt „data amplification” czyli lawinowy wzrost danych i rosnąca złożoność zarządzania nimi.
Paradoks polega na tym, że AI jest jednocześnie źródłem problemu i jego potencjalnym rozwiązaniem.
AI może klasyfikować dane, identyfikować dane zbędne lub wrażliwe, wspierać retencję i usuwanie danych oraz wykrywać anomalie i incydenty, ale tylko wtedy, gdy sama działa w nadzorowanym środowisku.
Własność danych, AI Act, ISO/IEC 27001 i RODO.
AI Act (Rozporządzenie UE 2024/1689) nie reguluje własności danych, ale wprowadza wymagania dotyczące jakości danych, zarządzania danymi (data governance), przejrzystości oraz rozliczalności systemów AI. W szczególności dla systemów wysokiego ryzyka dane muszą być odpowiednio zarządzane a procesy muszą być kontrolowalne i audytowalne. Celem jest korzystanie z godnych zaufania systemów AI, które nie wpływają negatywnie na prawa jednostek, grup osób czy społeczeństw.
Norma ISO/IEC 27001 nie reguluje własności danych, ale wymaga zarządzania ryzykiem, przypisania odpowiedzialności za aktywa informacyjne i wdrożenia odpowiednich zabezpieczeń technicznych i organizacyjnych. Stąd w praktyce: organizacja musi wiedzieć jakie dane posiada, kto za nie odpowiada i jak są zabezpieczone (chronione).
RODO nie posługuje się pojęciem „własności danych osobowych”. Zamiast tego wprowadza prawa osób, których dane dotyczą, definiuje role administratora (controller) i podmiotu przetwarzającego (processor). Kluczowym aspektem jest legalność przetwarzania, odpowiednia ochrona z uwzględnieniem ryzyka i kontrola nad przetwarzaniem a nie własność.
W praktyce wiele organizacji gromadzi dane, wdraża rozwiązania AI, ale nie ma realnej kontroli nad: przepływem danych, ich wykorzystaniem czy modelem przetwarzania. Stąd powstaje iluzja nadzoru i kontroli. AI dodatkowo ten problem pogłębia, ponieważ zwiększa skalę przetwarzania, automatyzuje decyzje i utrudnia zrozumienie przepływów danych. AI nie jest problemem. Problemem jest brak kontroli nad AI i danymi, które ją napędzają
Trzeba jednak mieć świadomość, że nie tracimy kontroli nad danymi dlatego, że istnieje AI. Tracimy ją wtedy, gdy nie mamy ładu informacyjnego, nie rozumiemy przepływów danych, nie mamy wdrożonych systemów zarządzania takich jak System Zarządzania Bezpieczeństwem Informacji oparty o normę ISO/IEC 27001 i System Zarządzania Sztuczną Inteligencją oparty o normę ISO/IEC 42001.
Jaki wpływ sztuczna inteligencja może mieć na Twoją firmę?
Jeżeli myślisz o wdrożeniu i certyfikacji Systemu Zarządzania Sztuczną Inteligencją na zgodność z ISO/IEC 42001, sprawdź, czy szkolenie “Manager Systemu Zarządzania Sztuczną Inteligencją zgodnie z ISO/IEC 42001” jest tym, którego szukasz.
Jest ono dedykowane dla przyszłych menadżerów i osób zarządzających systemami sztuczną inteligencją w organizacji oraz audytorów i osób pragnących poznać wymagania związane z wdrożeniem normy ISO/IEC 42001.
Dzięki udziałowi CIS w przeglądach systemowych dotyczących norm ISO, możemy Cię na bieżąco informować o postępach prac i zachodzących w normach zmianach.
