Evropský Akt o umělé inteligenci (Akt o AI) představuje první komplexní právní rámec pro regulaci umělé inteligence v Evropské unii. Jednou z nejcitlivějších a nejpřísněji regulovaných oblastí je využívání AI k biometrické identifikaci osob, zejména ve veřejném prostoru a v kontextech, kde může docházet k zásahům do soukromí či k diskriminaci.
Co je to biometrická identifikace?
Biometrická identifikace označuje proces, při němž systém umělé inteligence automaticky rozpoznává fyzické nebo behaviorální rysů jednotlivců jako je obličej, hlas, otisk prstu, chůze či způsob psaní, a porovnává je s daty uloženými v referenčních databázích s cílem určit identitu dané osoby. Akt o AI tento proces definuje jako automatické rozpoznávání těchto rysů pro účely zjištění totožnosti jednotlivce porovnáním biometrických údajů dané osoby s uloženými biometrickými údaji jednotlivců v referenční databázi, a to bez ohledu na to, zda daný jedinec poskytl svůj souhlas, či nikoli.
Typickými příklady využití jsou systémy kontroly vstupu na základě rozpoznání obličeje, hlasové biometrie v bankovnictví nebo sledování podezřelého chování pomocí kamerových systémů v obchodech.
Klíčové pojmy
Akt o AI definuje několik zásadních pojmů souvisejících s biometrickými technologiemi:
- Biometrická identifikace na dálku v reálném čase: systém biometrické identifikace na dálku (bez aktivního zapojení fyzických osob), kdy zachycení biometrických údajů, porovnání a identifikace probíhají bez zbytečného odkladu a zahrnují nejen okamžitou identifikaci, ale také omezená krátká zpoždění, jejichž cílem je zabránit obcházení pravidel.
- Biometrické údaje: osobní údaje vyplývající z konkrétního technického zpracování, týkající se tělesných či fyziologických znaků nebo znaků chování fyzické osoby, například zobrazení obličeje nebo otisk prstu;
- Biometrická identifikace: automatizované rozpoznávání fyzických, fyziologických, behaviorálních či psychických lidských znaků za účelem zjištění totožnosti fyzické osoby porovnáním biometrických údajů této osoby s biometrickými údaji jednotlivců, jež jsou uloženy v databázi;
Zakázané a vysoce rizikové způsoby
V souladu s rizikově orientovaným přístupem Akt o AI klasifikuje některé systémy biometrické identifikace jako vysoce rizikové a jiné až jako zakázané. Vysoce rizikové systémy podléhají přísným požadavkům na transparentnost, lidský dohled, správu dat a zajištění bezpečnosti – více jsme se těmto povinnostem věnovali zde. Zakázané systémy naopak nelze za žádných okolností používat, s výjimkami výslovně stanovenými v nařízení.
Nařízení stanoví několik základních okruhů, ve kterých je používání biometrických systémů buď zcela zakázáno, nebo je povoleno pouze za výjimečných okolností.
Mezi ně patří zásadní zákaz používání biometrických systémů v reálném čase na veřejných místech (např. ulice, nádraží, nákupní centra), a to pro účely vymáhání práva. Tento zákaz vychází z obav o právo na soukromí, svobodu pohybu a svobodu shromažďování.
Z tohoto pravidla však existují výjimky, kdy po předchozím schválení příslušným justičním orgánem a při splnění přísných podmínek je možno využít této biometrické identifikace pro pátrání po pohřešovaných osobách. reakce na bezprostřední hrozbu, jako je teroristický útok nebo vyšetřování závažných trestných činů.
Dále jsou zakázány systémy určené k analýze emocí (např. detekce stresu, hněvu či únavy). Takové systémy AI nesmí být využívány v pracovním nebo vzdělávacím prostředí, protože by mohly vést k porušení lidské důstojnosti a k psychologickému tlaku na jednotlivce. Výjimkami jsou v tomto případě použití v systémech zajišťujících bezpečnost (např. detekce mikrospánku u řidičů) nebo použití za účelem individuálního školení, pokud nejsou výsledky sdíleny s HR nebo jinými hodnotiteli.
Zakázány jsou systémy AI, které na základě profilování osobních nebo behaviorálních rysů předpovídají pravděpodobnost spáchání trestné činnosti. Takové systémy jsou považovány za zásadně diskriminační. AI však může asistovat při detekci skutečného podezřelého chování (např. skrývání zboží), pokud je výstup systému přezkoumán lidským operátorem a rozhodnutí není učiněno výlučně na základě algoritmu.
Zakázáno je rovněž využívání systémů AI k odvozování rasového nebo etnického původu, politických názorů, náboženského vyznání, sexuální orientace nebo jiných citlivých charakteristik na základě biometrických dat.
Sankce a doporučení
Porušení výše uvedeného je považováno za závažné porušení pravidel Aktu o AI, přičemž sankce mohou dosáhnout až 35 milionů eur nebo 7 % celosvětového ročního obratu společnosti podle toho, která částka je vyšší.
Zatímco evropské nařízení je přímo použitelné v celé EU, jednotlivé členské státy včetně České republiky budou muset přijmout vnitrostátní předpisy k vymezení dozorových orgánů a pravidel pro kontrolu a ukládání sankcí. V době přípravy tohoto článku nebyla česká úprava ještě přijata.
Vzhledem ke složitosti regulace biometrických systémů a vážnosti důsledků při jejím porušení je zásadní dodržet několik klíčových zásad:
- Pečlivě vymezte účel použití systému a ověřte, zda nespadá do zakázané nebo vysoce rizikové kategorie;
- Využíváte-li zákonnou výjimku, dbejte na splnění všech podmínek;
- Zajistěte transparentnost rozhodovacích procesů AI a dokumentujte klíčové kroky algoritmického zpracování;
- Zapojujte lidský dohled všude tam, kde se systém používá pro identifikaci nebo hodnocení jednotlivců;
Závěr
Akt o AI přináší jasná pravidla pro vývoj a nasazení systémů biometrické identifikace, která vyvažují potenciální přínosy této technologie s nutností chránit základní práva jednotlivců. Evropský zákonodárce si je vědom mimořádné citlivosti biometrických údajů a potenciálu jejich zneužití, a proto přistupuje k této oblasti s mimořádnou obezřetností. Zavedením přísných pravidel pro vysoce rizikové systémy a výslovnými zákazy některých typů využití AI se EU snaží nalézt rovnováhu mezi inovací a ochranou soukromí, důstojnosti a nediskriminace.
Současně je zřejmé, že úspěšná aplikace těchto pravidel bude do značné míry záviset na implementaci vnitrostátních opatření, včetně zajištění efektivního dozoru, transparentnosti a odpovědnosti všech aktérů, kteří biometrické systémy vyvíjejí nebo provozují. Pro organizace i veřejné instituce proto zůstává klíčovým úkolem důsledně vyhodnocovat, zda jejich použití biometrických technologií odpovídá právním požadavkům, a zavádět procesy, které umožní nejen dodržení regulace, ale i zachování důvěry veřejnosti.
