في 21 سبتمبر 2023، نشر مكتب مفوض الخصوصية في نيوزيلندا إرشاداتٍ حول الذكاء الاصطناعي ومبادئ خصوصية المعلومات. تُوسّع هذه الإرشادات نطاق التوقعات الأولية التي وضعها المكتب بشأن استخدام الذكاء الاصطناعي، والمنشورة في 25 مايو 2023. وتهدف هذه الإرشادات إلى مساعدة النيوزيلنديين الذين يستخدمون أدوات الذكاء الاصطناعي على الامتثال لقانون الخصوصية لعام 2020 فيما يتعلق باستخدام الذكاء الاصطناعي.
توضح هذه الإرشادات كيفية عمل أدوات الذكاء الاصطناعي، وتقدم أمثلة واقعية، وتطرح عدة أسئلة للتفكير فيها فيما يتعلق بمخاوف الخصوصية. كما توضح علاقة الذكاء الاصطناعي بمبادئ حماية المعلومات الشخصية الثلاثة عشر المنصوص عليها في قانون الخصوصية. وينطبق قانون الخصوصية عند جمع المعلومات الشخصية أو استخدامها أو مشاركتها، وكذلك عند استخدام أدوات الذكاء الاصطناعي.
بحسب مفوض الخصوصية، تُشكّل أدوات الذكاء الاصطناعي تحديات فريدة تتعلق بالخصوصية، إذ تُتيح هذه الأدوات طرقًا مبتكرة لجمع المعلومات الشخصية ودمجها، مما يُصعّب رؤية هذه المعلومات وفهمها وتبرير استخدامها. لذا، ينبغي على المؤسسات توخي الحذر الشديد عند إدخال المعلومات الشخصية في تقنيات الذكاء الاصطناعي، نظرًا لعدم وضوح كيفية إنتاج هذه الخوارزميات لنتائج محددة.
تشمل المعلومات الشخصية بموجب قانون الخصوصية معلومات مثل اسم الشخص وعنوانه وتفاصيل الاتصال به وصوره. وقد تشمل أيضًا بيانات وصفية تقنية مثل إحداثيات الخرائط وعناوين بروتوكول الإنترنت ومعرّفات الأجهزة المرتبطة بالشخص. كما تشمل معلومات غير دقيقة أو مُختلقة عن الشخص، بما في ذلك الملفات الشخصية المزيفة على مواقع التواصل الاجتماعي والصور المُفبركة بتقنية التزييف العميق.
نظرة عامة على الإرشادات المحدثة
تتخذ الإرشادات نهجاً واسعاً تجاه أنظمة الذكاء الاصطناعي وتأثيراتها المحتملة على الخصوصية، حيث أن الذكاء الاصطناعي لا يزال مجالاً نامياً، ويختلف الخبراء حول مدى قدرة الأنظمة الحالية وكيف سيتطور هذا بمرور الوقت.
تشير التوجيهات إلى ضرورة التزام مستخدمي الذكاء الاصطناعي في نيوزيلندا بمبادئ الملكية الفكرية في كل مرحلة من مراحل عملية الذكاء الاصطناعي. وتنص التوجيهات تحديدًا على أنه ينبغي على المؤسسات التي تستخدم أدوات الذكاء الاصطناعي ما يلي:
- أدرك أن الخصوصية هي نقطة انطلاق للاستخدام المسؤول لأدوات الذكاء الاصطناعي، وأن أفضل وقت لبدء العمل على الخصوصية هو في البداية.
- فكر ملياً في حالة الاستخدام قبل الاعتماد على أدوات جديدة ومثيرة لحلها، وتأكد من أنك تفهم مخاطر الخصوصية المحتملة.
- الحصول على موافقة القيادة العليا بناءً على دراسة كاملة للمخاطر وإجراءات التخفيف.
- قم بمراجعة ما إذا كانت أداة الذكاء الاصطناعي التوليدية ضرورية ومتناسبة مع الآثار المحتملة على الخصوصية، وفكر فيما إذا كان بإمكانك اتباع نهج مختلف.
- قم بإجراء تقييم لأثر الخصوصية قبل استخدام هذه الأدوات، بما في ذلك مصادر البيانات التي تم تدريبها عليها ومدى ملاءمتها وموثوقيتها لأغراضك.
- كن شفافاً، وأخبر الناس كيف ومتى ولماذا يتم استخدام الأداة.
- ضع في اعتبارك وجهات نظر الماوري وتفاعل معهم بشأن المخاطر والآثار المحتملة لمعلوماتهم على التراث الثقافي (تاونغا).
- وضع إجراءات تتعلق بدقة المعلومات وإمكانية وصول الأفراد إليها.
- تأكد من إجراء مراجعة بشرية قبل اتخاذ أي إجراء بشأن مخرجات الذكاء الاصطناعي لتقليل مخاطر عدم الدقة والتحيز.
- تأكد من أن أداة الذكاء الاصطناعي لا تحتفظ بالمعلومات الشخصية أو تفصح عنها.
إن فهم المخاطر المحتملة سيمكنك من استخدام سياسات الخصوصية لإدارة أدوات الذكاء الاصطناعي الخاصة بك وضمان أن بيانات الخصوصية تحدد توقعات واضحة.
تُشكّل المبادئ التوجيهية الثلاثة عشر لحماية المعلومات الشخصية، التي تُنظّم كيفية تعامل الوكالات مع المعلومات الشخصية، المكوّن الأساسي لقانون الخصوصية. وتُنظّم هذه المبادئ أنشطة جمع المعلومات الشخصية واستخدامها ومشاركتها.
تنطبق مبادئ حماية الخصوصية سواءً كنت تُطوّر أدوات الذكاء الاصطناعي الخاصة بك، أو تستخدمها للمساعدة في اتخاذ القرارات، أو كان لديك أعضاء في الفريق يستخدمونها بشكل غير رسمي في العمل. كما تنطبق هذه المبادئ عندما تُقدّم منظمات أجنبية أدوات الذكاء الاصطناعي لمواطنين نيوزيلنديين. عليك مراعاة التزاماتك المتعلقة بالخصوصية في كل حالة.
تُقدّم مبادئ حماية البيانات الشخصية إرشاداتٍ للتعامل مع البيانات الشخصية، بما في ذلك كيفية جمعها (المبادئ 1-4)، واستخدامها وحمايتها (المبادئ 5-10)، ومشاركتها (المبادئ 11-12). كما توجد متطلباتٌ مُحدّدةٌ للمعرّفات الفريدة (المبدأ 13). ومن الأسئلة الرئيسية التي يجب طرحها:
تُعيد أدوات الذكاء الاصطناعي إنتاج الأنماط من بيانات التدريب الخاصة بها. وتُلزم الجهات الحكومية عمومًا بجمع المعلومات الشخصية مباشرةً من الشخص المعني (IPP2) والإفصاح عن جميع المعلومات التي تجمعها، بما في ذلك كيفية استخدامها (IPP3). إضافةً إلى ذلك، يتعين على هذه الجهات ضمان أن تكون المعلومات الشخصية التي يتم الحصول عليها عادلة وقانونية، وألا تنتهك خصوصية الأفراد بشكل غير مبرر، لا سيما عند جمع البيانات من القاصرين (IPP4).
تُحاكي أدوات الذكاء الاصطناعي الأنماط المُلاحظة في بيانات التدريب الخاصة بها. لذا، لا يُمكن للمؤسسة معرفة ما إذا كانت الأداة تُضمّن معلومات شخصية تم الحصول عليها بطريقة تُخالف مبادئ حماية المعلومات الشخصية (IPPs) من 1 إلى 4، إلا إذا كان لديها فهم مُعمّق لبيانات التدريب وأساليب التصميم المُستخدمة في إنشائها. إضافةً إلى ذلك، قد تُحدّ أي ثغرات أو تحيّزات من الدقة (IPP8).
يتعين على المؤسسات تحديد أسباب جمعها للبيانات الشخصية، واستخدامها والإفصاح عنها فقط لتلك الأسباب (مبادئ حماية المعلومات 10 و11). وهذا يعني أنه يجب على المؤسسات تقييم أسباب احتياجاتها لجمع المعلومات بدقة، والتأكد من حصولها فقط على المعلومات الضرورية لتلبية تلك المتطلبات.
يجب على المؤسسة الإفصاح عند جمع البيانات عما إذا كانت تنوي استخدام المعلومات الشخصية لتدريب أدوات الذكاء الاصطناعي. تُعدّ بيانات التدريب أساس هذه الأدوات، وإذا كانت المؤسسة تقدم خدمةً ما، مثل روبوت محادثة أو خط هاتف، فعليها إبلاغ المستخدمين بذلك صراحةً ومنحهم خيار رفض استخدام معلوماتهم لهذه الأغراض.
بالإضافة إلى ذلك، يجب أن تكون المؤسسات على ثقة من أنها تستخدم المعلومات الشخصية بطرق تتناسب مع الغرض الذي جُمعت من أجله. وقد يتعارض إعادة استخدام المعلومات لأغراض التدريب مع هذا المبدأ (IPP10).
يحق لأي شخص طلب الوصول إلى أي معلومات تحتفظ بها أي جهة حكومية عنه وتصحيحها (IPP6 وIPP7). قبل تطبيق أي أداة ذكاء اصطناعي، يؤكد المفوض على ضرورة أن تضع المؤسسات آليات للتعامل مع طلبات الأفراد الراغبين في الوصول إلى بياناتهم الشخصية وتصحيحها. قبل استخدام أي أداة ذكاء اصطناعي خلال مرحلة الشراء، يُنصح بالتفكير في النقاط التالية:
- هل أنت واثق من قدرتك على تقديم معلومات عن شخص ما إذا طلبها؟
- هل أنت واثق من قدرتك على تصحيح المعلومات الشخصية؟
- كم مرة يتم تحديث النماذج التي تعتمد عليها؟ هل يمكنك تصحيح مخرجات الذكاء الاصطناعي في الوقت المناسب؟
- كيف ستتحقق من هوية الشخص الذي يطلب معلوماته؟
تُسهّل قدرات الذكاء الاصطناعي على الأفراد تقليد الآخرين بشكل واقعي. لذا، يجب على المؤسسات توخي الحذر الشديد عند التحقق من هوية أي شخص يطلب معلومات حساسة.
تُلزم المبادئ التوجيهية لحماية المعلومات الشخصية (IPP8) الجهات التي تمتلك معلومات شخصية باتخاذ تدابير معقولة للتحقق من دقة البيانات وتحديثها واكتمالها وملاءمتها وعدم تضليلها قبل استخدامها أو الإفصاح عنها. وهذا يثير التساؤل: ما هي "الخطوات المعقولة" التي يمكن للمؤسسات اتخاذها لضمان التزام تقنيات الذكاء الاصطناعي بمفهوم الدقة؟
ينبغي على أي منظمة إجراء تقييمات لأثر الخصوصية وتقييم كل مرحلة من مراحل دورة حياة أداة الذكاء الاصطناعي، وقد يشمل ذلك دراسة عملية التدريب التي طُوّرت من خلالها، والتواصل مع المجتمع، بما في ذلك الماوري، لفهم ودعم العدالة والدقة. على سبيل المثال، مناقشة الماوري حول المخاطر والآثار المحتملة لمعلوماتهم على تراثهم الثمين.
يجب على المؤسسات حماية المعلومات الشخصية، والرسائل، وبيانات التدريب من السرقة، والوصول غير المصرح به، وسوء الاستخدام (IPP5). ويشمل ذلك استخدام تدابير الأمن السيبراني، مثل المصادقة الثنائية .
ونتيجةً لذلك، سيتعين على المؤسسات تحديد ما إذا كان بإمكانها استخدام أدوات الذكاء الاصطناعي دون مشاركة البيانات، أو ما إذا كان بإمكانها الاعتماد على بنود تعاقدية تمنع مزود الخدمة من استخدام بيانات الإدخال لأغراض التدريب. إضافةً إلى ذلك، ستحتاج هذه المؤسسات إلى استراتيجيات للاستجابة لانتهاكات الخصوصية، تتناول المخاطر المحتملة لاستخدام أدوات الذكاء الاصطناعي.
ختاماً
يقترح المفوض أن المسار الأكثر أمانًا هو تجنب وضع المعلومات الشخصية في أداة الذكاء الاصطناعي إذا كانت المنظمة غير متأكدة من ذلك والتأكد من امتثال جميع أفراد المنظمة.
نعتمد جميعًا على الأفراد والمنظمات في تحمل مسؤولية أفعالهم ضمن الإطار الأوسع، مما يستلزم أهمية اتخاذ إجراءات استباقية بشأن الخصوصية لتحسين إدارة المخاطر واستخدام أدوات الذكاء الاصطناعي بكفاءة أكبر. بالإضافة إلى ذلك، يجب على المنظمات ضمان الحصول على بيانات التدريب ومعالجتها بطريقة تتوافق مع data privacy اللوائح والقوانين المتعلقة بالذكاء الاصطناعي والمعايير الأخلاقية.
