Trwają prace nad nową Polityką AI. Co z bezpieczeństwem danych?

O pracach nad nową Polityką AI poinformowała Dominika Kaczorowska-Spychalska, członkini GRAI na LinkedIn. Szczegóły na ten temat mają pojawić się wkrótce.

Tymczasem na stronie rządowej ukazało się sprawozdanie z realizacji „Polityki dla rozwoju Sztucznej Inteligencji w Polsce od roku 2020” w okresie 2020-2023. W dokumencie znalazły się też cele, które Ministerstwo Cyfryzacji (MC) chciało realizować do 2027 roku. Przeanalizowaliśmy je.

Cele Polityki sztucznej inteligencji

W dokumencie znajduje się 75 celów i 192 narzędzia służące ich osiągnięciu. Są one podzielone na perspektywę krótkoterminową (do 2023 roku), średnioterminową (do 2027 roku) oraz długoterminową.

Cele podzielono na sześć sekcji: „AI i społeczeństwo”, „AI i innowacyjne firmy”, „AI i nauka”, „AI i edukacja”, „AI i współpraca międzynarodowa” oraz „AI i sektor publiczny”.

Nas szczególnie zainteresował ostatni sektor, który określa strategię „otwierania danych publicznych, podnoszenia kompetencji pracowników administracji publicznej czy odpowiedzialnego wykorzystania rozwiązań AI przez instytucje publiczne”.

„Wydajny i skuteczny dostęp do danych"

Wśród celów dla sektora publicznego, do zrealizowania do 2027 roku, znalazło się: „podejmowanie działań w określonych obszarach związanych z rozwojem sztucznej inteligencji, w szczególności w celu wydajnego i szybkiego dostępu do danych i ich wykorzystywania przez wszystkich uczestników życia gospodarczego, bez względu na wielkość instytucji” (cel 1.2.2).

Cel ten został przypisany do następujących jednostek: Główny Urząd Statystyczny, Urząd Statystyczny w Warszawie, Ministerstwo Funduszy i Polityki Regionalnej, Zakład Ubezpieczeń Społecznych, NASK, Ministerstwo Rolnictwa i Rozwoju Wsi oraz Ministerstwo Finansów.

W nazwie celu 1.2.2 nie znalazło się słowo na temat bezpieczeństwa. Szybki i skuteczny dostęp do danych w narzędziach AI z pewnością przyspieszy walkę z biurokracją i usprawni działanie urzędów. Szybkość nie może być jednak stawiana ponad bezpieczeństwem, co mamy nadzieję - znajdzie odzwierciedlenie w nowej Polityce AI.

Kto odpowiada za bezpieczeństwo danych?

Według sprawozdania Ministerstwo Cyfryzacji działa w zgodzie z RODO. Natomiast nad bezpieczeństwem danych czuwa Krajowe Centrum Doskonałości Danych przy NASK-u, które „koordynuje działalność ośrodków lokalnych zapewniających bezpieczny i szybki dostęp do danych”.  W celach na 2027 rok napisano, że NASK miałby się także zająć opracowaniem prototypu anonimizacji dokumentów PDF.

W kwestii danych medycznych, w ramach celu do zrealizowania do 2027 roku, bezpieczeństwo zapewnia Europejska Przestrzeń Danych Zdrowotnych (European Health Data Space). Jak czytamy w dokumencie - każde państwo członkowskie UE musi powołać Digital Health Authority. W Polsce miałoby się tym zająć Ministerstwo Zdrowia.

Według obecnej polityki ZUS do 2027 roku ma zbudować Interaktywną Platformę Danych, czyli cyfrowe repozytorium danych o profilu statystycznym, które umożliwi użytkownikom przeprowadzanie indywidualnych analiz bazujących inicjalnie na jednostkowych danych gromadzonych w KSI.

GUS ma tymczasem za zadanie doskonalić System Zarządzania Bezpieczeństwem Informacji (SZBI) w statystyce publicznej. Działania mają podnieść bezpieczeństwo danych obywateli oraz utrzymać rozwiązania organizacyjne w obszarze bezpieczeństwa. GUS ma także za zadanie „stałe podnoszenie kompetencji pracowników spółek skarbu państwa w zakresie bezpieczeństwa danych poprzez udział w szkoleniach tematycznych”.

Wśród celów długoterminowych znalazło się natomiast stworzenie przez Ministerstwo Finansów nowego systemu teleinformatycznego, opartego na oprogramowaniu ONZ pod nazwą „goAML”, który „miałby być wykorzystywany w związku z zagrożeniami związanymi z bezpieczeństwem i stabilnością systemów finansowych, w tym w szczególności zagrożeniami, jakimi są pranie pieniędzy czy finansowanie terroryzmu”. W ramach modułów analitycznych systemu zostanie wykorzystana sztuczna inteligencja i uczenie maszynowe.

Brak analizy ryzyk

W rozmowie z naszym portalem, w kontekście AI w sądownictwie i ochronie zdrowia, prezes UODO Mirosław Wróblewski stwierdził, że są to „obszary obciążone wysokim ryzykiem, a zatem potencjalnie mogą rodzić duże niebezpieczeństwa negatywnego wpływu na prawa i wolności obywateli”.

Warto zwrócić uwagę, że dane, którymi dysponują wszystkie jednostki publiczne, to dane wrażliwe. Przy wprowadzaniu narzędzi AI do urzędów i ministerstw powinna być więc zachowana szczególna ostrożność, poprzedzona analizą ryzyk.

Na ten temat nie znaleźliśmy informacji w dokumencie. Uwagę na ten fakt zwraca również Ministerstwo Finansów w nadesłanych wnioskach: „W dokumencie brakuje zidentyfikowanych ryzyk w przypadku niewykonania poszczególnych celów oraz ewentualnych zagrożeń zauważonych podczas realizacji zadań związanych z wykorzystaniem AI - napisano.

Co prawda, w polityce AI znajdują się też cele, takie jak „analiza etycznych skutków implementacji AI oraz oddziaływania systemów AI na sferę praw człowieka” (1.1.2.); czy „Zapewnienie bezpieczeństwa oraz zbudowanie zaufania społecznego i gotowości do wykorzystywania rozwiązań AI w połączeniu z demokratyzacją dostępu do AI” (1.2.3.). Cele te są jednak związane głównie z działaniami promocyjnymi i informacyjnymi.

Pozostaje mieć nadzieję, że nowa Polityka AI uwzględni uwagi MF dotyczące braku analizy ryzyk.

O nową Politykę AI, w kontekście bezpieczeństwa danych, zapytaliśmy Ministerstwo Cyfryzacji i UODO. Czekamy na odpowiedzi.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].