Hur gdpr kommer att påverka ai-industrin | ben dickson

I det som kan beskrivas som ett slags vapenras har teknikföretag samlat stora volymer användardata för att finslipa de konstgjorda intelligensalgoritmerna som driver deras applikationer och plattformar. Hittills har de mestadels kunnat undvika ansvarsskyldighet när deras praxis har drivit dem in i juridiskt och etiskt grå områden.

Men det kan komma att förändras den 25 maj när Europeiska unionens allmänna regler för dataskydd träder i kraft. GDPR kommer att införa enastående begränsningar för insamling och hantering av användardata i EU-regionen och smälla tunga påföljder för företag som inte följer.

Det kan låta som dåliga nyheter för företag som använder AI-algoritmer, som har gynnats av slappa regler för datainsamling (och långa, tråkiga och tvetydiga villkor för servicedokument). Vissa fruktar att skärpta regler kommer att hämma innovation och spridning av konstgjord intelligens i många applikationer och domäner. Andra tror att det nya direktivet kommer att skapa en grund där AI-applikationer blir mer pålitliga och tillförlitliga.

Hur som helst är AI-branschen för en stor förskjutning i GDPR-eran.

Dataägande och integritet

"GDPR är en stor sak för AI, eftersom det kräver att vi tänker annorlunda om hur vi samlar in och använder data, " säger Tim Estes, grundare och ordförande för Digital Reasoning. "För länge har teknikföretag insisterat på att du måste ge upp dina uppgifter för att få värde från sina produkter och tjänster."

Tidigare var företag skyldiga att endast få ett vagt samtycke från användare att samla in alla typer av data. "AI har hjälpt till att hålla stordata-hype vid liv - vilket ger ännu en anledning till att företag ska samla in och bryta all tillgänglig data, " säger Estes. "Många företag har börjat implementera AI för att analysera sina data bara för att de tycker att de borde - utan att tänka på påverkan på användarnas integritet eller ägandet av data."

Den mest grundläggande förutsättningen för GDPR är att data tillhör användare. Enligt GDPR måste företag avslöja hela omfattningen av information de samlar in samt hur de använder den och hur de kommer att skydda den och förhindra obehörig åtkomst. De nya reglerna kommer att tvinga AI-företagen att vara mer noggranna med de uppgifter de samlar in i motsats till att bli engagerade i villig hamstring, behandling och delning av användarinformation.

Rätten att glömmas

GDPR ger användare möjlighet att kräva att ett företag raderar all sin data från sina servrar. Detta passar inte bra med AI-företag som har ett intresse av att hålla så mycket användardata som möjligt för att utföra uppgifter som att förutsäga trender och användarbeteende.

"I slutet av dagen handlar GDPR om hur du samlar in och hanterar data och inte nödvändigtvis om hur mycket data du har, " säger Maryna Burushkina, VD för GrowthChannel. "De största svårigheterna som de flesta företag kommer att möta handlar inte mycket om att få opt-ins, utan mer att hantera informationen, kommunicera användningen av data till användarna och låta användarna möjlighet att ta bort dem."

AI-företag måste ta extra steg för att anonymisera sina uppgifter om de fortfarande vill ha tillgång till dessa insikter. Men andra utmaningar står inför företag som redan har stora butiker med användardata.

"Enligt GDPR, om ett företag vill radera en specifik PII, måste de se till att den raderas överallt, " säger Amnon Drori, VD för Octopai. Detta kan vara en skrämmande uppgift att utföra manuellt när dina data är spridda över olika servrar och lagras i olika strukturerade och ostrukturerade format.

Till exempel, när man tar bort en användares kreditkortsnummer (säkert en känslig information), måste företag undersöka varje rapport, databas, databasobjekt och ETL där informationen lagras. "Ibland ser vi olika metadatornamn för samma artikel: till exempel 'kreditkortsnummer', 'cc-nummer', kredit-c-nummer ', ' kortnummer ', ' kreditkortnummer. '… listan fortsätter och på, "säger Drori. Det är ofta omöjligt att veta var man ska titta och processen kan ta veckor eller till och med månader, och som många manuella processer är den benägna att mänskliga misstag och felaktigheter, säger Drori.

GDPR kommer också att höja kostnaderna för mänskliga misstag vid hantering av data. "Detta är anledningen till att så många företag idag söker en automatiserad lösning för att exakt hantera sina metadata, " säger Drori. Kanske ironiskt nog kan AI själv vara en lösning i detta avseende. AI-driven metadatahanteringsverktyg kan skanna alla datakällor inom en organisation och konsolidera relationer mellan olika verktyg och datakällor.

Rätten till förklaring

En av de viktigaste delarna av GDPR när det gäller AI är vad som har blivit känt som "rätten till förklaring." I direktivet anges att företag måste meddela användare om "förekomsten av automatiserat beslutsfattande" och ge dem "meningsfull information om den logik som är inblandad, liksom betydelsen och de planerade konsekvenserna av sådan behandling för den registrerade."

Detta innebär i grund och botten att användare måste veta när de direkt eller indirekt omfattas av AI-algoritmer och bör kunna utmana besluten som dessa algoritmer fattar och begära bevis för hur slutsatsen härleddes. Detta kommer att vara en av de största utmaningarna som AI-industrin kommer att möta.

Djupa neurala nätverk, den viktigaste tekniken bakom samtida AI-algoritmer, är komplexa mjukvaruskonstruktioner som skapar sina egna funktionsregler genom att analysera stora uppsättningar av data och hitta korrelationer och mönster. När neurala nätverk blir mer komplexa blir deras beteende allt svårare att sönderdelas. Ofta kan inte ens ingenjörer förklara orsakerna bakom de beslut som deras AI-algoritmer fattar.

Den kallade "svarta rutan" -problemet har oförklarligheten av AI-algoritmer gjort det svårt att genomföra dem i rättssalen beslut, brottsbekämpning, lån och kredit ansökningar, rekrytering, sjukvård och andra kritiska domäner. Men utan någon juridisk hävstång hade AI-företag litet incitament att göra deras AI-algoritmer mer öppna, särskilt när de var nära knutna till sina affärshemligheter.

Nu kommer GDPR att hålla AI-företag för att redovisa de beslut som deras algoritmer fattar.

"Som en del av GDPR ansvarar organisationerna för att tydligt beskriva behandlingsmetoden på mänskligt språk samtidigt som de begär samtycke från ämnet, " säger Pascal Geenens, säkerhetsforskare på Radware. "När djup inlärning utvecklas och dataforskare inte kan karakterisera en deterministisk karaktär bakom det neurala nätverkets resonemang, kan denna beskrivning bli mer komplex och svår att förklara."

I grund och botten handlar GDPR om att göra de människor som behandlar data ansvariga, säger Geenens. Så om du använder maskininlärningsalgoritmer för att utföra behandlingen måste du designa dem på ett sätt som gör att du kan förklara de beslut de fattar för dina räkning.

En handfull organisationer försöker utveckla teknik för att göra AI mer transparent. Framstående bland dem är DARPAs Explainable AI (XAI), ett forskningsprojekt som syftar till att göra AI-baserade beslut förståeliga.

Outsourcing AI

GDPR kommer också att påverka organisationer som gör sina uppgifter tillgängliga för tredje parter. Ett framträdande exempel på ett sådant företag är Facebook; i sin Cambridge Analytica-skandal misslyckades den sociala mediejätten att förhindra datagruvan att samla in och missbruka uppgifterna från 87 miljoner användare. Men GDPR kommer också att ha konsekvenser för företag som lägger ut sina AI-funktioner och gör sina data tillgängliga för AI-leverantörer.

"Även om många antar att AI-leverantörer är som andra tjänsteleverantörer - helt enkelt att erbjuda sin teknik i utbyte mot monetär kompensation - är sanningen att AI-leverantörer också ingår affärssamarbete som ett sätt att bygga vidare på och utveckla sin teknik, " säger Estes, chefen verkställande direktör från Digital Reasoning. Detta innebär att en AI-leverantör kanske vill hålla fast vid en klients data för att ytterligare utbilda sina egna algoritmer och använda dem i andra domäner.

Till exempel kan en AI-leverantör som hjälper en sjukvårdsorganisation hitta mönster i symtom och förbättra diagnoser komma över en datauppsättning som förbättrar dess egenutvecklade algoritmer. AI-företaget kanske sedan vill utnyttja informationen för att förbättra sina algoritmer för andra typer av patientvård, för att utveckla sina förmågor för att hjälpa andra sjukvårdsleverantörer. Enligt GDPR kommer den vårdorganisation som ansvarar för uppgifterna att hållas ansvarig för all oetisk användning av AI-leverantören. Nyckeln, tror Estes, är att företag ska söka AI-leverantörer som tror på att äga algoritmerna, inte uppgifterna.

"GDPR kommer att tvinga företag att ägna mer uppmärksamhet åt hur och när deras data används, var de lagras och vad som händer med det efter att ett projekt har slutförts, " säger Estes. "Detta innebär att du arbetar med AI-leverantörer som hjälper till att definiera raderna för datainterägelse och implementera strategier som skyddar användarinformation, samtidigt som det inte hindrar de sätt det kan hjälpa till att utveckla AI-algoritmernas framgång."

Kommer GDPR att hindra AI-innovation?

Experter som vi talade med tror att även om de nya bestämmelserna kommer att utmana de nuvarande praxis och vanor som AI-företag har antagit, kommer det också att tvinga dem att hitta nya sätt att förnya sig och även att respektera integritet och etiska standarder.

"När GDPR-reglering träder i kraft vidtar alla stora mjukvaruföretag nödvändiga åtgärder för att inte bara säkerställa efterlevnad utan också för att förnya och tänka ut ur boxen för att hitta nya möjligheter på marknaden, " säger GrowthChannel's Burushkina.

"Innovation kommer inte att hämmas - utan styras och motiveras - av GDPR, " säger Octopais Drori. Samtidigt kommer GDPR också att ge upphov till nya företag och tekniker som hjälper organisationer att uppnå och upprätthålla GDPR-efterlevnad.

De standarder som fastställs av GDPR kan faktiskt hjälpa till att överbrygga det växande förtroendeklyftan mellan leverantörerna och användarna av AI-drivna tjänster. Estes tror att GDPR kommer att göra både AI-leverantörer och de som implementerar sin teknik mer ansvariga för hur och var de använder dataressurser och pressar dem för att sätta användare framför vinst. "I slutet av dagen, " säger han, "AI-leverantörer borde bara behöva äga algoritmerna - inte informationen - för att förnya deras kapacitet och lösningar."