Blog
Erklärbare KI in Großbritannien - die regulatorische Landschaft
Derzeit werden alle Arten von Daten immer mehr verfügbar. Ebenso wird Künstliche Intelligenz (KI) mit zunehmender Rechenleistung zu einem immer wichtigeren Bestandteil unseres täglichen Lebens. Da wir KI jedoch immer mehr persönliche und berufliche Aufgaben anvertrauen, muss die Frage nach der Verantwortlichkeit gestellt werden. [/post_introduction]
Zuvor haben wir sowohl den Bedarf als auch die Methoden der KI-Erklärbarkeit (XAI) diskutiert. Hier wollen wir uns die regulatorische Landschaft ansehen, die sich ebenfalls um diesen dringenden Bedarf herum entwickelt.
Künstliche Technologie im Kontext
Für die meisten Menschen ist die Interaktion mit einem KI-fähigen System eine alltägliche (wenn nicht gar alltägliche) Angelegenheit. Lösungen wie Bilderkennungssysteme (zum Markieren und Identifizieren von Fotos), Spracherkennungssysteme (die häufig von virtuellen persönlichen Assistenten verwendet werden) und Empfehlungssysteme (wie Online-Shops und Steaming-Dienste) werden alle von KI und maschinellem Lernen unterstützt.
Aber auch in anderen Branchen wie der Unterhaltungsindustrie, dem Bildungswesen, dem Baugewerbe, dem Gesundheitswesen, der Produktion, der Strafverfolgung und dem Finanzwesen werden sie immer häufiger eingesetzt. In vielen dieser Fälle können sie einen entscheidenden Einfluss auf Leben und Tod sowie auf das persönliche und finanzielle Wohlergehen haben.
Dies gilt insbesondere für solche Systeme, die im Gesundheitswesen, bei der Gesichtserkennung in der Polizeiarbeit oder sogar bei der Vorhersage von Rückfällen im Strafrechtssystem eingesetzt werden. Weitere Beispiele für aufkommende Trends sind autonome Fahrzeuge oder der zunehmende Einsatz von Drohnen im Krieg, bei denen der Entscheidungsprozess hinter dem KI-System richtig sein muss.
Ein Maß an Verantwortlichkeit
Wie wir eindeutig feststellen können, hat die KI das unbestrittene Potenzial, unsere Realität zu verändern. Dies hat natürlich zu zahlreichen Diskussionen in Forschungs- und Politikkreisen geführt, die aktiv darüber debattieren, inwieweit der Einzelne in der Lage sein sollte, zu verstehen (oder eine Erklärung dafür zu erhalten), wie KI-basierte Entscheidungen getroffen werden.
Aus der Sicht des einzelnen Menschen wollen wir, dass Computer transparente Erklärungen und Begründungen für KI-Entscheidungen liefern, denn sie können uns in vielerlei Hinsicht beeinflussen. Aus diesem Grund werden solche Vorschriften erlassen.
Auf der Unternehmensseite könnte ein Mangel an Erklärbarkeit also direkt zu ernsthaften regulatorischen und Reputationsrisiken für die Anwender von KI führen. Es kann auch zu einem generellen Misstrauen gegenüber dem/den System(en) führen, was die Entwicklung und den Erfolg insgesamt behindert.
So ist es Finanzunternehmen beispielsweise gesetzlich untersagt, KI oder Algorithmen des maschinellen Lernens endgültige Entscheidungen bei der Genehmigung von Versicherungen, Krediten oder Hypotheken treffen zu lassen. Letztendlich sind die Banken immer noch verantwortlich für solche Entscheidungen und für alle unethischen Entscheidungen, die auftreten können. Solange sie also keine Technologie einsetzen, die den "Denkprozess" klar aufzeigt und jegliche illegale Voreingenommenheit ausschließt, ist man immer noch auf das menschliche Eingreifen angewiesen.
Daher versuchen Regierungen, Aufsichtsbehörden und Organisationen des privaten Sektors gleichermaßen, die Regeln und Grundsätze für KI-gestützte Systeme zu implementieren (und sich darauf zu einigen), vom Design über die Bereitstellung bis hin zur allgemeinen Nutzung, sobald sie aktiv sind. Hier möchte ich mich vor allem auf die regulatorische Landschaft der erklärbaren KI konzentrieren, insbesondere in Großbritannien, da es eines der weltweit führenden KI-Ökosysteme hat.
Politische und Governance-Strukturen, die die Datennutzung und KI umgeben, ergeben sich aus einer komplexen Konfiguration von rechtlichen und regulatorischen Instrumenten und Standards sowie aus professionellen und verhaltensbezogenen Verhaltensnormen. In Großbritannien umfassen diese Strukturen Regulierungsmechanismen zur Regelung der Datennutzung, neue rechtliche und politische Rahmenbedingungen für die Anwendung von KI in bestimmten Sektoren und eine Reihe von Verhaltenskodizes, die versuchen, die Art und Weise zu beeinflussen, in der Entwickler KI-Systeme entwerfen. Im Folgenden finden Sie eine Skizze dieses Umfelds.
Wichtigste Gesetzgebung
Die primäre Gesetzgebung im Vereinigten Königreich, die ausdrücklich eine Verpflichtung zur Erklärung gegenüber einer Person vorsieht, ist das Datenschutzgesetz 2018 (Data Protection Act 2018, DPA), das die Umsetzung der Allgemeinen Datenschutzverordnung (General Data Protection Regulation, GDPR) des Landes ist - die Datenschutzverordnung, die die Verwendung personenbezogener Daten in den EU-Ländern regelt.
Gemeinsam regeln sie die Erhebung und Verwendung personenbezogener Daten, also Informationen über identifizierte oder identifizierbare Personen. Wenn KI nicht mit der Verwendung personenbezogener Daten verbunden ist, fällt sie nicht in den Geltungsbereich des Datenschutzgesetzes. Die Verwendung von KI für die Wettervorhersage oder die Astronomie betrifft zum Beispiel keine Personen.
Dennoch verwendet oder erzeugt KI sehr oft persönliche Daten. In einigen Fällen werden große Mengen personenbezogener Daten verwendet, um KI-Modelle zu trainieren und zu testen. Beim Einsatz werden weitere personenbezogene Daten gesammelt und in das Modell eingespeist, um Entscheidungen über Personen zu treffen. Diese Entscheidungen - selbst wenn es sich nur um Vorhersagen oder Schlussfolgerungen handelt - sind selbst personenbezogene Daten, da sie sich auf bestimmte Personen beziehen und sogar identifizierbar sein können. In jedem der letztgenannten Fälle fällt eine solche KI in den Anwendungsbereich des Datenschutzgesetzes.
Dieses Gesetz ist jedoch relativ neutral, wenn es um Technologie geht. Es bezieht sich nicht direkt auf KI oder damit verbundene Technologien, wie z.B. das maschinelle Lernen. Sowohl die GDPR als auch die DPA konzentrieren sich jedoch stark auf die groß angelegte automatisierte Verarbeitung personenbezogener Daten, während sich mehrere Bestimmungen speziell auf die Verwendung von Profiling und automatisierter Entscheidungsfindung beziehen. Das bedeutet, dass dies für die Verwendung von KI gilt, um eine Vorhersage oder Empfehlung über eine Person abzugeben.
Insbesondere lohnt es sich, den folgenden Rechten und Pflichten im Rahmen der GDPR/DPA-Bestimmungen besondere Aufmerksamkeit zu widmen...
Das Recht, informiert zu werden
In Bezug auf die Datenschutz-Grundverordnung (DSGVO) sehen wir, dass Artikel 13 und 14 das Recht des Einzelnen auf Information über ausschließlich automatisierte Entscheidungsfindungsprozesse bei der Entwicklung rechtlicher Entscheidungen oder ähnlich bedeutsamer Auswirkungen festschreiben. Die Nutzer müssen darüber informiert werden, dass solche Systeme existieren, und sie müssen aussagekräftige Informationen über die verwendete Logik und die Bedeutung (einschließlich der voraussichtlichen Folgen) für den Einzelnen erhalten.
Was bedeutet das für KI? Die Eigentümer von KI müssen darlegen, wie die KI funktioniert (die Logik) und wie sich die KI auf den einzelnen Nutzer, Kunden, Klienten, Antragsteller usw. auswirken kann. Wenn die KI eine Entscheidung trifft, die erhebliche Auswirkungen auf den Endnutzer haben kann, z. B. eine Kreditanfrage, haben diese Nutzer ein Recht darauf zu erfahren, wie die Entscheidung zustande gekommen ist.
Das Recht auf Zugang
Artikel 15 der DSGVO legt auch das Recht des Einzelnen auf Zugang zu Informationen über die Existenz von ausschließlich automatisierten Entscheidungsprozessen fest. Dies ist den Artikeln 13 und 14 sehr ähnlich - es unterstreicht noch einmal, dass der Einzelne ein Recht darauf hat, über diesen Prozess informiert zu werden.
Was bedeutet das für AI? Erwägungsgrund 71 bietet eine Auslegungshilfe. Er stellt klar, dass Einzelpersonen das Recht haben, eine Erklärung zu einer ausschließlich automatisierten Entscheidung zu erhalten, nachdem diese getroffen wurde. Ein Kunde weiß vielleicht nicht einmal, dass eine solche Entscheidung von einer KI getroffen wurde, aber darum geht es nicht. Wenn eine Person eine Erklärung verlangt, reicht es nicht aus zu sagen: "Die Entscheidung wurde von einer KI getroffen".
Das Recht auf Widerspruch
Artikel 21 der GDPR betrifft das Recht des Einzelnen, der Verarbeitung seiner personenbezogenen Daten zu widersprechen. Dies beinhaltet insbesondere ein direktes und absolutes Widerspruchsrecht gegen jegliches Profiling zu Direktmarketingzwecken.
Was bedeutet das für die KI? Zumindest nicht viel direkt. Wenn jemand verlangt, dass seine Daten nicht verarbeitet werden, dann können Ihre KI- und Machine Learning-Algorithmen seine persönlichen Daten überhaupt nicht verwenden. Wie wir bereits erwähnt haben, gelten alle Ergebnisse, die Sie über diese Personen generieren, ebenfalls als personenbezogene Daten, so dass auch diese nicht aufbewahrt werden können.
Rechte in Bezug auf automatisierte Entscheidungsfindung - einschließlich Profiling
Gemäß Artikel 22 der Datenschutz-Grundverordnung haben Personen auch das Recht, nicht einem rein automatisierten Entscheidungsprozess unterworfen zu werden - insbesondere nicht solchen, die zu rechtlichen oder ähnlich bedeutsamen Ergebnissen führen. Es gibt zwar einige wenige Ausnahmen, aber selbst in diesen Fällen sind Organisationen verpflichtet, geeignete Maßnahmen zum Schutz des Einzelnen zu ergreifen. Dazu gehört das Recht auf menschliches Eingreifen, auf Meinungsäußerung und sogar auf Anfechtung der Entscheidungen von KI-Verfahren. Erwägungsgrund 71 bietet auch eine Auslegungshilfe für Artikel 22.
Was bedeutet das für die KI? Oft kann ein menschlicher Ansatz verlangt werden, so dass solche manuellen Optionen immer verfügbar sein müssen. Aber selbst dann, wenn es um KI-Entscheidungen geht, müssen Schutzmechanismen vorhanden sein. Beim einfacheren maschinellen Lernen können zum Beispiel Entscheidungsbäume verwendet werden, bei denen die Entscheidungen linear und leicht zu bestimmen sind. Bei komplexerer KI ist dies jedoch nicht der Fall, so dass oft menschliche Eingaben erforderlich sind, um Fehler zu erkennen oder Entscheidungen zu treffen. In Zukunft werden sich solche Organisationen fortschrittlichen ethischen Tests und Erklärungen zuwenden, um der KI besser vertrauen zu können.
Datenschutz-Folgenabschätzungen
Artikel 35 der DSGVO besagt, dass Unternehmen verpflichtet sind, Datenschutz-Folgenabschätzungen (Data Protection Impact Assessments, DPIA) durchzuführen, wenn sie Aufgaben in Bezug auf personenbezogene Daten wahrnehmen, vor allem aber, wenn sie neue Technologien einsetzen, da diese mit größerer Wahrscheinlichkeit ein hohes Risiko für den Einzelnen darstellen.
Eine Datenschutzfolgenabschätzung ist immer erforderlich für jedes systematische und umfassende Profiling sowie für jede andere automatisierte Auswertung der persönlichen Aspekte einer Person, die für einschneidende Entscheidungen (d.h. rechtliche oder ähnlich wichtige Entscheidungen) verwendet werden.
Was bedeutet das für KI? Letztlich sind viele der Rechte, die die Datenschutzgrundverordnung und die Datenschutzfolgenabschätzung dem Einzelnen zugestehen, und die Pflichten, die sie Organisationen auferlegen, direkt für die Nutzung von KI relevant. Das bedeutet auch, dass KI nicht einfach nach Belieben implementiert werden kann - wenn es um Entscheidungen von solcher Tragweite geht, besteht die Pflicht, eine Datenschutzfolgenabschätzung durchzuführen.
Andere relevante Gesetze
Wenn es um KI-Vorschriften in Großbritannien geht, können wir uns auch auf das Gleichstellungsgesetz 2010 und das Verwaltungsrecht berufen.
Gleichstellungsgesetz 2010
Dies gilt für eine Vielzahl von Organisationen und verbietet jegliches Verhalten, das eine andere Person aufgrund eines "geschützten Merkmals" diskriminiert, belästigt oder schikaniert. Dazu können unter anderem Alter, Behinderung, Ethnie und Geschlecht gehören.
Da Ihre Organisation verpflichtet ist, die Benachteiligung von Menschen mit geschützten Merkmalen so weit wie möglich zu vermeiden, müssen Sie in der Lage sein, jeden Entscheidungsprozess zu erläutern, um zu zeigen, dass er nicht diskriminierend ist. Diese Erklärung muss in einem Format erfolgen, mit dem sich der Empfänger der Entscheidung sinnvoll auseinandersetzen kann.
Was bedeutet das für die KI? Selbst bei intelligenten KI-Prozessen kann es zu unbeabsichtigten Verzerrungen kommen - vor allem, wenn es sich um historische Informationen handelt, die möglicherweise versteckte Verzerrungen enthalten. Da Sie den Nutzern jederzeit auf Anfrage nachweisen müssen, dass Ihr Prozess fair und ethisch vertretbar war, ist es am besten, wenn Sie regelmäßig sicherstellen, dass Ihre KI wie vorgesehen funktioniert.
Aus pragmatischer Sicht ist es natürlich am einfachsten, wenn Sie Ihren KI-Lösungen solche Informationen einfach nicht geben. Bei der Verarbeitung von Entscheidungen über Personen ist es oft besser, der KI keine Angaben zu Ethnie, Geschlecht oder anderen Faktoren zu machen. Allerdings ist das Problem damit nicht völlig aus der Welt geschafft. KI muss reguliert und überprüft werden, um sicherzustellen, dass sie z. B. Menschen an einem bestimmten Ort keine anderen Ergebnisse liefert als anderen, insbesondere wenn diese Orte bestimmte demografische Gruppen begünstigen, die nach dem Equality Act 2010 geschützt sein könnten.
Gerichtliche Überprüfung im Verwaltungsrecht
Jeder kann die Rechtmäßigkeit von Regierungsentscheidungen oder -beschlüssen beantragen und anfechten. Mit anderen Worten: Einzelpersonen können Entscheidungen von Behörden oder sogar von privaten Einrichtungen, die im Auftrag der Regierung öffentliche Aufgaben wahrnehmen, rechtlich in Frage stellen. Das gilt natürlich auch, wenn in solchen Prozessen KI-Entscheidungen zum Einsatz kommen.
Was bedeutet das für die KI? Nicht viel, es sei denn, Sie arbeiten im staatlichen Sektor und sind für gerichtliche Verfahren verantwortlich - dann bedeutet es eine Menge. Dies ähnelt den oben genannten Punkten - dass Einzelpersonen ein Recht darauf haben zu erfahren, wie die Faktoren ermittelt wurden.
Neue Politikansätze
In mehreren Sektoren untersuchen die Aufsichtsbehörden, ob KI-gestützte Produkte oder Dienstleistungen Fragen zur Erklärbarkeit aufwerfen könnten und ob die bestehenden Rahmenbedingungen ausreichen, um etwaige Bedenken auszuräumen. Zum Beispiel:
- Der Automated and Electric Vehicles Act (2018) des Vereinigten Königreichs enthält Bestimmungen über die Haftung von Versicherern oder Eigentümern autonomer Fahrzeuge. Dies beantwortet einige Fragen darüber, ob eine Erklärung erforderlich wäre, um die Verantwortung für einen Unfall zuzuweisen.
- Die Financial Conduct Authority gibt eine Studie in Auftrag, um ein besseres Verständnis für die Herausforderungen zu erlangen, die sich bei der Anwendung von KI im Finanzsektor ergeben. Sie arbeitet auch mit der International Organization of Securities Commissions zusammen, um ein Rahmenwerk für die Anwendung von ethischer KI in dieser Branche zu entwickeln.
- Die Medicines and Healthcare Regulatory Authority arbeitet mit dem British Standards Institute zusammen, um zu untersuchen, inwieweit die bestehenden Rahmenbedingungen für die Regulierung von Medizinprodukten in der Lage sind, die Herausforderungen der KI zu bewältigen, und ob neue Standards (in Bereichen wie Transparenz und Erklärbarkeit) für die Validierung der Wirksamkeit solcher Geräte erforderlich sein könnten.
Zusammenfassung
Der Finanzsektor war schon immer stark reguliert. Es überrascht daher nicht, dass die Zahl der gesetzlichen Regelungen in Bezug auf Daten und KI zunimmt. Mit der unaufhaltsamen Expansion der technologischen Welt kann man mit Sicherheit sagen, dass sich auch die regulatorische Landschaft erweitern wird.
XAI - Explainable AI - ist ein komplexer Bereich, in dem sich einerseits die Algorithmen weiterentwickeln, um mehr Variablen zu berücksichtigen, und andererseits die Erwartung besteht, dass die Verbraucher vollständig verstehen, wie Entscheidungen und Vorhersagen getroffen werden. Dies bringt eine ganze Reihe neuer Überlegungen mit sich: vom Menschen interpretierbare Entscheidungsgrenzen, die Genauigkeit der Vorhersagekraft im Vergleich zur Sichtbarkeit, das Risikomanagement und die Risikominderung. Eines wissen wir heute mit Sicherheit - dieser Bereich wird sich in den kommenden Monaten stark weiterentwickeln müssen.
Schließlich ist es erwähnenswert, dass die Regierung im April 2018 ihren AI Sector Deal veröffentlicht hat, in dem das ICO und das Alan Turing Institute beauftragt wurden: "...zusammenzuarbeiten, um einen Leitfaden zu entwickeln, der dabei hilft, KI-Entscheidungen zu erklären."Dies fügt sich in die laufenden Bemühungen Großbritanniens ein - die auch nationale und internationale Regulierungsbehörden/Regierungen einbeziehen -, die umfassenderen Auswirkungen von Transparenz und Fairness bei wichtigen KI-Entscheidungen anzugehen.
Diese Partnerschaft arbeitet derzeit an einem neuen KI-Prüfungsrahmen, der eine Anleitung für praktische Erklärungen von KI-Entscheidungen gegenüber den jeweiligen Personen, deren Daten verarbeitet wurden, bieten wird. Es befindet sich derzeit in der ersten Konsultationsphase. Das endgültige Rahmenwerk wird irgendwann im Jahr 2020 erwartet.
Vorerst können wir uns jedoch drei Teile des Entwurfs der Leitlinien ansehen, die im selben Jahr veröffentlicht wurden:
- Mit KI getroffene Entscheidungen erklären - Teil 1 : "Die Grundlagen der Erklärung von KI"
- Mit KI getroffene Entscheidungen erläutern - Teil 2: "KI in der Praxis erklären"
- Mit KI getroffene Entscheidungen erklären - Teil 3: "Was das Erklären von KI für Ihr Unternehmen bedeutet"[:]
Unsere Ideen
Weitere Blogs
Contact