NAIH Vengrija: AI valdymas ir DPA taisyklės
Vengrijos duomenų institucija yra NAIH — Nemzeti Adatvédelmi és Információszabadság Hatóság. Institucija paskelbė išsamiausias AI gaires iš visų Vidurio Europos DPA. 2024 m. ji priėmė 38 vykdymo sprendimus. Taip pat paskelbė taisykles, reikalaujančias DPIA kiekvienai AI sistemai, tvarkančiai asmens duomenis. Šios taisyklės toli gražu viršija BDAR bazinį lygį.
NAIH AI vykdymo taisyklės
Dauguma ES DPA skelbia plačias AI gaires. Vengrijos DPA nuėjo toliau. Jos 2024 m. gairės yra konkrečios ir veiklos aspektu.
DPIA reikalingos visoms AI sistemoms: Kiekviena AI sistema, liečianti asmens duomenis, pirmiausia reikalauja DPIA. Reguliatorius tai reikalauja prieš diegimą. Tai taikoma net tada, kai apdorojimas nėra didelės rizikos pagal BDAR 35 straipsnį. Tai yra griežčiau nei pats BDAR rizika pagrįstas požiūris.
Ką turi apimti NAIH DPIA:
- Techninis AI modelio duomenų įvesties ir išvesties aprašas
- Įrodymai, kad mokymo duomenys buvo anoniminiai arba turėjo galiojantį teisinį pagrindą
- Algoritminio diskriminacijos rizikos vertinimas
- Žmogaus peržiūros žingsnis automatizuotiems sprendimams
- AI apdorotų duomenų saugojimo ir ištrynimo grafikas
Metinė peržiūra: Institucija reikalauja, kad DPIA būtų atnaujinamos kiekvienais metais. Tai taikoma, kai AI sistema yra iš naujo apmokoma arba reikšmingai pakeičiama.
Vengrija 2024 m. nagrinėjo daugiau nei 890 000 BDAR duomenų užklausų. Tai didelis kiekis 10 milijonų gyventojų šaliai. Tai rodo aktyvų teisių naudojimą ir realų spaudimą atitikties komandoms.
NER tikslumo spraga
Institucijos 2024 m. apžvalga bandė NER modelius vengrišku tekstu. Jie surinko tik 67 % tikslumą. ES vidurkis yra 82 %. Tas 15 taškų skirtumas turi tikrų atitikties sąnaudų.
Vengrų kalba yra agliutinacinė. Ji kuria žodžius per daugelį priesagų. Vardai, adresai ir ID vengrų kalboje labai skiriasi nuo duomenų anglų ar vokiečių kalbomis. Tomis kalbomis apmokyti įrankiai praleidžia didelę dalį asmens duomenų vengrų kalboje. Žr. mūsų daugiakalbio PII aptikimo vadovą, kaip ši spraga veikia BDAR atitiktį skirtingomis kalbomis.
Reguliatorius nustatė, kad bendrieji NLP įrankiai praleidžia TAJ-számot 61 % dokumentų. Formato variacija ir kontrolinės sumos palaikymo nebuvimas yra pagrindinės priežastys.
Vengrų nacionaliniai identifikatoriai
Komandos, apdorojančios dokumentus Vengrijoje, turi tiksliai aptikti šiuos ID tipus. Žr. mūsų ES nacionalinio mokesčių ID aptikimo vadovą dėl viso ES aprėpties konteksto.
TAJ-szám (Társadalombiztosítási Azonosító Jel): 9 skaitmenų socialinio draudimo numeris. Jis atsiranda sveikatos, išmokų ir pensijų įrašuose. Tikrinimui naudojama Socialinio draudimo institucijos nustatyta svorinė kontrolinė suma.
Adóazonosító jel: 10 skaitmenų asmeninis mokesčių ID. Formatas yra 8 skaitmenų pagrindas ir 2 kontroliniai skaitmenys. Jis atsiranda darbo užmokesčio, mokesčių deklaracijų ir darbo sutarčių dokumentuose.
Személyi igazolvány numeris: Nacionalinės tapatybės kortelės numeris. Formato ir kontrolinio skaitmens taisyklės atitinka išduodančios institucijos reikalavimus.
Útlevél szám: Paso numeris. Formato ir kontrolinio skaitmens reikalavimai taip pat atitinka išduodančios institucijos taisykles.
Ügyfélkapu kontekstas
Vengrija valdo daugumą viešųjų paslaugų per vieną platformą — Ügyfélkapu (Kliento vartai). Daugiau nei 4 milijonai piliečių ją naudoja mokesčiams, išmokoms, sveikatos priežiūrai ir licencijavimui. Privačios įmonės jungiasi prie Ügyfélkapu dėl darbo užmokesčio, išmokų ar tapatybės patikrinimų. Tos įmonės apdoroja tuos pačius identifikatorius reguliuojamame kontekste.
Institucija nustatė, kad šios įmonės dažnai naudoja tarptautinius PII įrankius. Daugeliui jų trūksta aukščiau nurodytų identifikatorių palaikymo. Tai lemia praleistus duomenis ir tiesioginę atitikties riziką.
ES AI akto persidengimas
Vengrija anksti įtraukė AI akto taisykles į DPA gaires. Reguliatoriaus pozicija yra aiški.
Didelės rizikos AI sistemos yra išvardytos AI akto III priede. Jos apima darbus, kredito vertinimą ir esmines paslaugas. Joms reikia tiek AI akto atitikties vertinimo, tiek NAIH DPIA.
Universalūs AI modeliai, apdorojantys Vengrijoje gyvenančių žmonių duomenis, taip pat reikalauja NAIH DPIA. Tai taikoma net tada, kai modelis nėra įtrauktas kaip didelės rizikos pagal AI aktą.
Komandai, diegiančiai AI Vengrijoje, pagrindiniame kontroliniame sąraše yra trys punktai. Prieš paleidimą atlikite NAIH DPIA. Patikrinkite, ar jūsų NER įrankis apima aukščiau paminėtus subjektus vengrišame tekste. Patvirtinkite TAJ-szám ir adóazonosító jel aptikimą su kontrolinės sumos tikrinimu.