Usługi
Aktualności
RODO
Szkolenia
Wydarzenia
O nas
kontakt

Strona główna
Aktualności
Sztuczna inteligencja w objęciach prawa unijnego. Główne problemy regulacyjne w czasie inkubacyjnym.

Sztuczna inteligencja w objęciach prawa unijnego. Główne problemy regulacyjne w czasie inkubacyjnym.

16.01.2024
Autor: dr Adam Rogala - Lewicki
News

Sztuczną inteligencję w UE będą regulować pierwsze na świecie kompleksowe przepisy dotyczące AI – Akt o sztucznej inteligencji (Regulation of the European Parliament and of the Council laying down harmonised rules on Artificial Intelligence – Artificial Intelligence Act).

Unijne rozporządzenie to przełomowy akt prawny, wykraczający poza skalę europejską. Na szczeblu międzynarodowym Organizacja Współpracy Gospodarczej i Rozwoju (OECD) przyjęła (niewiążące) zalecenie w sprawie sztucznej inteligencji w 2019 roku, UNESCO przyjęło zalecenia w sprawie etyki sztucznej inteligencji w 2021 roku, Rada Europy pracuje obecnie nad międzynarodową konwencją w sprawie AI.

W przestrzeni Unii Europejskiej prace toczą się od dłuższego czasu. I tak, Parlament Europejski wezwał Komisję Europejską do oceny wpływu sztucznej inteligencji i opracowania unijnych ram dla sztucznej inteligencji w swoich szeroko zakrojonych zaleceniach z 2017 roku w sprawie przepisów prawa cywilnego dotyczących robotyki. W 2019 roku Niezależna Grupa Ekspertów Wysokiego Szczebla do spraw Sztucznej Inteligencji przyjęła Wytyczne w zakresie etyki dotyczące godnej zaufania sztucznej inteligencji. W Białej księdze w sprawie sztucznej inteligencji z 2020 roku Komisja Europejska zobowiązała się do promowania wykorzystania sztucznej inteligencji i przeciwdziałania zagrożeniom związanym z niektórymi zastosowaniami tej nowej technologii. W 2020 i 2021 roku Parlament przyjął szereg rezolucji wzywających do przyjęcia przepisów UE w dziedzinie sztucznej inteligencji. W pierwszej rezolucji zwrócono się do Komisji aby ustanowiła ramy prawne zasad etycznych dotyczących opracowywania, wdrażania i wykorzystywania sztucznej inteligencji, robotyki i powiązanych technologii w Unii. W drugiej rezolucji wezwano do harmonizacji ram prawnych dotyczących roszczeń z tytułu odpowiedzialności cywilnej i nałożenia odpowiedzialności na operatorów systemów AI wysokiego ryzyka. Ponadto Parlament przyjął szereg zaleceń wzywających do wspólnego podejścia UE do AI w zakresie własności intelektualnej, prawa karnego, edukacji, kultury i obszarów audiowizualnych, a także w odniesieniu do cywilnych i wojskowych zastosowań AI.

14 czerwca 2023 roku Parlament Europejski uchwalił akt (przyjmując stanowisko negocjacyjne, w ramach trójstronnych negocjacji (tzw. trilogi, czyli negocjacje pomiędzy PE, Radą i Komisją Europejską). 9 grudnia 2023 roku doszło po prawie 15 godzinach negocjacji (które nastąpiły po prawie 24-godzinnej debacie poprzedniego dnia) do porozumienia między krajami UE a członkami Parlamentu Europejskiego. Europa tym samym zajęła pozycję pioniera normatywnego w obszarze AI, przy czym należy pamiętać, że akt przewiduje aż dwuletnie vacatio legis.

Podstawowe założenia aktu o sztucznej inteligencji

Ogólnym celem proponowanego aktu o sztucznej inteligencji, zaprezentowanego w kwietniu 2021 roku, jest zapewnienie prawidłowego funkcjonowania jednolitego rynku poprzez stworzenie warunków dla rozwoju i wykorzystywania godnych zaufania systemów sztucznej inteligencji w Unii.

W powszechnym odczuciu społecznym oczekuje się, że technologie sztucznej inteligencji przyniosą szeroki wachlarz korzyści ekonomicznych i społecznych w wielu sektorach gospodarki. Są one szczególnie przydatne do poprawy przewidywania, optymalizacji operacji i alokacji zasobów oraz personalizacji usług. Równocześnie zwraca się uwagę na wpływ systemów sztucznej inteligencji na prawa podstawowe (chronione chociażby na mocy Karty praw podstawowych UE). W szczególności systemy AI mogą zagrażać prawom podstawowym, takim jak prawo do niedyskryminacji, wolności słowa, godności ludzkiej, ochrony danych osobowych i prywatności. Politycy zobowiązali się do opracowania „humanocentrycznego” podejścia do sztucznej inteligencji, aby zapewnić Europejczykom możliwość korzystania z nowych technologii zgodnie z unijnymi wartościami i zasadami, w szczególności założono szereg celów szczegółowych: (i) zapewnienie, że systemy AI wprowadzane na rynek na rynek UE będą bezpieczne i zgodne z obowiązującym prawem UE, (ii) zapewnienie pewności prawa w celu ułatwienia inwestycji i innowacji, (iii) wzmocnienie zarządzania i skutecznego egzekwowania prawa UE w zakresie praw podstawowych i wymogów bezpieczeństwa, (iv) ułatwienie rozwoju jednolitego rynku dla zgodnych z prawem, bezpiecznych i godnych zaufania aplikacji AI oraz (v) zapobieganie fragmentacji rynku.

Nowe ramy AI, oparte na art. 1149 i art. 1610 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE), w założeniu miały zawierać neutralną technologicznie definicję systemów sztucznej inteligencji, ustanowienie klasyfikacji systemów AI z różnymi wymogami i obowiązkami dostosowanymi do „podejścia opartego na ryzyku”. Systemy AI stwarzające „niedopuszczalne” ryzyko byłyby zakazane. Systemy AI „wysokiego ryzyka” byłyby dozwolone, ale podlegałby zestawowi wymogów i obowiązków. Te systemy sztucznej inteligencji, które stwarzałyby jedynie „ograniczone ryzyko” podlegałyby ograniczonym obowiązkom w zakresie przejrzystości.

Zakres regulacji aktu o sztucznej inteligencji

Przyjęte przepisy AI ACT dotyczą wszystkich podmiotów, które wprowadzają do obrotu lub oddają do użytku systemy (niezależnie od tego, czy mają swoją siedzibę w UE, a zatem np. Google Inc. w przypadku Barda), jeżeli skutki związane z wykorzystanie dostarczonych przez nich systemów powstają na terenie Unii. Rozporządzenie wprowadza kategoryzację systemów, na te stwarzające (i) niedopuszczalne ryzyko, (ii) wysokie ryzyko, (iii) ograniczone ryzyko oraz (iv) niskie lub minimalne ryzyko. I tak:

1. Niedopuszczalne ryzyko: zakazane praktyki AI

systemy, które wykorzystują szkodliwe manipulacyjne „techniki podprogowe”,
systemy, które wykorzystują określone grupy szczególnie wrażliwe (niepełnosprawność fizyczna lub umysłowa),
systemy wykorzystywane przez organy publiczne lub w ich imieniu do celów oceny społecznej,
zdalne systemy identyfikacji biometrycznej „w czasie rzeczywistym” w publicznie dostępnych przestrzeniach na potrzeby do celów egzekwowania prawa, z wyjątkiem ograniczonej liczby przypadków;

2. Wysokie ryzyko: regulowane systemy SI wysokiego ryzyka

systemy wykorzystywane jako element bezpieczeństwa produktu lub objęte unijnym prawodawstwem harmonizacyjnym w zakresie zdrowia i bezpieczeństwa (np. zabawki, lotnictwo, samochody, urządzenia medyczne, windy),
systemy wdrożone w ośmiu konkretnych obszarach określonych w załączniku III, które Komisja mogłaby aktualizować w razie potrzeby za pomocą aktów delegowanych (art. 7):
identyfikacja biometryczna i kategoryzacja osób fizycznych,
zarządzanie infrastrukturą krytyczną i jej obsługa,
kształcenie i szkolenie zawodowe,
zatrudnienie, zarządzanie pracownikami i dostęp do samozatrudnienia,
dostęp do podstawowych usług prywatnych i publicznych oraz korzystanie z nich świadczeń,
egzekwowanie prawa;
zarządzanie migracją, azylem i kontrolą graniczną;
wymiar sprawiedliwości i procesy demokratyczne.

Wszystkie systemy sztucznej inteligencji wysokiego ryzyka podlegają zestawowi nowych obowiązków, w tym m.in. ocena zgodności ex ante działania takich systemów pod kątem wpływu na prawa podstawowe osób fizycznych, zarejestrowanie systemów w ogólnounijnej bazie danych zarządzanej przez Komisję przed wprowadzeniem ich na rynek lub do użytku. Systemy AI wysokiego ryzyka wykorzystywane do identyfikacji biometrycznej wymagałyby oceny zgodności przez „jednostkę notyfikowaną”. Oczywiście dostawcy systemów sztucznej inteligencji wysokiego ryzyka zobowiązani są wdrożyć odpowiednie środki bezpieczeństwa. Systemy muszą spełniać szereg wymogów w szczególności w zakresie zarządzania ryzykiem, testowania, solidności technicznej, szkolenia w zakresie danych i zarządzania danymi, przejrzystości, nadzoru ludzkiego i cyberbezpieczeństwa (art. 8-15). Dostawcy spoza UE muszą posiadać autoryzowanego przedstawiciela w UE, który będzie m.in, zapewniał ocenę zgodności, system monitorowania po wprowadzeniu do obrotu i w razie potrzeby podejmował działania naprawcze.

3. Ograniczone ryzyko: obowiązki w zakresie przejrzystości

Systemy AI stwarzające „ograniczone ryzyko”, takie jak systemy generatywne wchodzące w interakcje z ludźmi (tj. chatboty, jak np. ChatGPT), systemy rozpoznawania emocji, systemy kategoryzacji biometrycznej i systemy sztucznej inteligencji, które generują lub manipulują treściami graficznymi, audio lub wideo [jak np. sieci kontradyktoryjne (GANs), wariancyjne autoenkodery (VAEs), czy deepfakes], podlegałyby ograniczonemu zestawowi obowiązków w zakresie przejrzystości. Po interakcji z tymi aplikacjami użytkownik będzie mógł zdecydować, czy chce z nich dalej korzystać. Użytkownicy powinni być świadomi, że interakcja odbywa się ze sztuczną inteligencją. W każdym przypadku konieczne będzie informowanie użytkowników o tym, że mają oni do czynienia z treściami generowanymi przez AI.

4. Niskie lub minimalne ryzyko: brak obowiązków

Wszystkie inne systemy sztucznej inteligencji stwarzające jedynie niskie lub minimalne ryzyko mogą być opracowywane i wykorzystywane w UE bez konieczności spełniania rozbudowanych obowiązków prawnych. Rozporządzenie przewiduje możliwość stosowania kodeksów postępowania, aby zachęcić dostawców systemów sztucznej inteligencji nieobarczonych wysokim ryzykiem do dobrowolnego stosowania obowiązkowych wymogów dla systemów AI wysokiego ryzyka.

Akt nakłada na państwa członkowskie wymóg wyznaczenia jednego lub większej liczby właściwych organów, w tym krajowego organu nadzoru, którego zadaniem będzie nadzorowanie stosowania i wdrażania rozporządzenia, a także ustanawia Europejską Radę ds. Sztucznej Inteligencji (złożoną z przedstawicieli państw członkowskich i Komisji).

W przypadku uporczywego nieprzestrzegania przepisów państwa członkowskie mogą podjąć wszelkie odpowiednie środki w celu środki w celu ograniczenia, zakazania, wycofania lub wycofania z rynku danego systemu AI wysokiego ryzyka. Przewidziane kary administracyjne to od 7,5 mln euro lub 1,5% całkowitego rocznego światowego obrotu, do 35 mln euro lub 7% całkowitego rocznego światowego obrotu, w zależności od wagi naruszenia

Rozporządzenie przyznaje także osobom, których prawa zostały naruszone decyzją wydaną z wykorzystaniem systemu sztucznej inteligencji, do wniesienia skargi do właściwego organu państwowego, a także zaskarżenie do sądu.

Rozbieżności stanowisk / kontrowersje

Definicja sztucznej inteligencji

Prawna definicja systemów sztucznej inteligencji zawarta w rozporządzeniu została poddana ostrej krytyce. Niektórzy interesariusze podkreślają, że definicja systemów AI jest dość szeroka i może obejmować znacznie więcej niż to, co jest subiektywnie rozumiane jako AI, w tym najprostsze algorytmy wyszukiwania, sortowania i routingu, co w konsekwencji może prowadzić do „nadregulacji”. Problem dotyczy też traktowania tzw. „wstępnych komponentów AI”. Brak jasności definicji może prowadzić do niepewności prawnej, zwłaszcza w przypadku niektórych systemów, które nie kwalifikowałyby się jako systemy AI, podczas gdy ich użycie może mieć wpływ na prawa podstawowe. Niektóre środowiska wzywają prawodawców UE do wyłączenia systemów sztucznej inteligencji opracowanych i wykorzystywanych do celów badawczych i oprogramowania open source (OSS) z regulacji. Inni komentatorzy kwestionują czy proponowana definicja jest rzeczywiście neutralna technologicznie ponieważ odnosi się przede wszystkim do oprogramowania, pomijając potencjalne przyszłe rozwiązania technologiczne w dziedzinie sztucznej inteligencji.

Ograniczenie rynku

Francja, Niemcy i Włochy sprzeciwiły się regulowaniu modeli podstawowych, argumentując, że hamowałoby to rozwój europejskich systemów AI. 18 listopada 2023 roku państwa te opublikowały wspólny dokument, tzw. non-paper, który odzwierciedla wspólne stanowisko trzech głównych gospodarek europejskich w kwestii modeli podstawowych.

Grupa biznesowa DigitalEurope skrytykowała przepisy, uznając je za kolejne obciążenie dla firm. Z kolei European Enterprises Alliance podkreśla, że istnieje ogólna niepewność co do ról i obowiązków różnych podmiotów w łańcuchu wartości AI (deweloperów, dostawców i użytkowników AI). Jest to szczególnie trudne dla firm dostarczających aplikacje i interfejsy programowania aplikacji ogólnego przeznaczenia lub modele AI typu open source, które nie są specjalnie przeznaczone dla systemów AI ale mimo to są wykorzystywane przez strony trzecie w sposób, który można uznać za obarczony wysokim ryzykiem. AlgorithmWatch podkreśla, że zastosowanie konkretnych zasad nie powinno zależeć od rodzaju technologii, ale od jej wpływu na jednostki i środowisko.

Biometria i scoring społeczny w AI

Niektóre zainteresowane strony (głównie organizacje – obrońcy praw człowieka) wzywają do wprowadzenia zakazu masowego dla arbitralnie ukierunkowanego wykorzystania danych biometrycznych w przestrzeni publicznej. Grupa AccessNow twierdzi, że przepisy dotyczące zakazanych praktyk AI są zbyt niejasne, i proponuje szerszy zakaz wykorzystywania sztucznej inteligencji do kategoryzowania ludzi na podstawie danych fizjologicznych, behawioralnych lub biometrycznych (w tym do rozpoznawania emocji, a także niebezpiecznych zastosowań w kontekście działań policyjnych, migracji, azylu i zarządzania granicami). Proponują zakazanie istniejących manipulacyjnych systemów sztucznej inteligencji (np. deepfake), scoringu społecznościowego i niektórych danych biometrycznych. Ponadto niektórzy podkreślają, że akt nie odnosi się do systemowych zagrożeń dla zrównoważonego rozwoju stwarzanych przez sztuczną inteligencję zwłaszcza w obszarze ochrony klimatu i środowiska.

Podejście oparte na ryzyku (Risk-based approach)

Co do zasady wszyscy z zadowoleniem przyjmują podejście oparte na ryzyku (znane chociażby z RODO, NIS czy DORA). Niemniej jedną z głównych obaw ekspertów jest to, że przepisy dotyczące praktyk wysokiego ryzyka mogą okazać się nieskuteczne w rzeczywistości, ponieważ ocenę ryzyka pozostawia się samoocenie dostawcy usług, który może celowo ją dostosowywać (manipulować) do poziomu własnego interesu biznesowego.

Zarządzanie, egzekwowanie i sankcje dotyczące sztucznej inteligencji

Eksperci podnoszą obawy dotyczące nadmiernego delegowania uprawnień regulacyjnych na prywatne europejskie organizacje normalizacyjne, brak demokratycznego nadzoru, w tym braku możliwości wpływania przez interesariuszy (organizacje społeczeństwa obywatelskiego, stowarzyszenia konsumenckie) na opracowywanie norm oraz brak środków sądowych umożliwiających ich kontrolę po ich przyjęciu. Zalecają, aby rozporządzenie kodyfikowało zestaw prawnie wiążących wymogów dla systemów sztucznej inteligencji wysokiego ryzyka (np. zakazane formy dyskryminacji algorytmicznej).

Podsumowanie

Przyjęcie pierwszych regulacji prawnych w obszarze sztucznej inteligencji – rozumiane jako osiągnięcie trudnego konsensusu pomiędzy państwami, gospodarkami Unii Europejskiej – należy niewątpliwie uznać za sukces. Natomiast sama treść aktu i proponowane w nim rozwiązania już wzbudzają kontrowersję. Główna oś sporu rozgranicza zwolenników wolnego rynku (zarzucających „nadregulację” i ograniczanie swobody technologicznej, a w konsekwencji rynku i rozwoju) od obrońców praw obywatelskich (w szczególności prywatności) wskazujących na ryzyka i zagrożenia. Skuteczność rozwiązań normatywnych (np. kwestia dokonywania autooceny ex ante) – co jasne – zostanie zweryfikowana dopiero w praktyce. Przyjęcie aktu pozwala jednak (przy zastrzeżeniu długiego okresu vacatio legis) przejść z poziomu dyskusji na poziom normatywny funkcjonowania sztucznej inteligencji (ze wszystkimi z tego tytułu płynącymi konsekwencjami w warstwie jurysprudencji, orzecznictwa czy doktryny).

Autor

dr Adam Rogala - Lewicki

Adwokat, Konsultant ds. Danych Osobowych. Prawnik z doświadczeniem w zakresie obsługi podmiotów korporacyjnych w ramach obrotu cywilnego, handlowego i gospodarczego, specjalizujący się w prawie ochrony danych osobowych, bezpieczeństwa informacji, nowych technologii oraz własności intelektualnej. Specjalista w zakresie audytowania i wdrażania systemów ochrony danych osobowych, zarządzania bezpieczeństwem informacji, compliance, corporate governance i due diligence. W obszarze danych osobowych również pełnomocnik w sporach z PUODO oraz GIODO. Studiował na Uniwersytecie Warszawskim, Uniwersytecie im. Kardynała Stefana Wyszyńskiego w Warszawie, Uniwersytecie Paris X Nanterre, w Akademii Obrony Narodowej, był stypendystą Funduszu Stypendialnego i Szkoleniowego na Uniwersytecie w Oslo i w Liechtenstein Institute oraz rządu Indii w International Management Institute w New Delhi. W pracy posługuje się również językiem angielskim i francuskim.

Z tej samej kategorii

Realizacja prawa dostępu do danych osobowych według EROD Więcej

Profilowanie na Danych Osobowych Więcej

Sztuczna inteligencja w objęciach prawa unijnego. Główne problemy regulacyjne w czasie inkubacyjnym. Więcej

Prezes Urzędu Ochrony Danych Osobowych – wybór, kompetencje i wyzwania na 2024 r. Więcej

COLD MAILING W KONTEKŚCIE ADMINISTRATORA DANYCH OSOBOWYCH I PROCESORA Więcej

Zasady naczelne RODO Więcej

Dokumentacja z zakresu ochrony danych osobowych Więcej

Kodeksy postępowania na gruncie RODO i ich znaczenie Więcej

Naruszenie ochrony danych w świetle wytycznych Europejskiej Rady Ochrony Danych Więcej

Technologia rozpoznawania twarzy w obszarze ochrony porządku publicznego – wytyczne Europejskiej Rady Ochrony Danych Więcej

WSZYSTKIE Z KATEGORII

Kategorie

analizy
Cyberbezpieczeństwo
definicje i pojęcia w RODO
inspektor ochrony danych
obowiązki administratora danych
organ nadzorczy
powierzanie danych
prawa podmiotów danych
przekazywanie danych poza EOG
roczny plan kontroli UODO
RODO w IT
Sankcje, kary finansowe RODO

Ta strona wykorzystuje pliki cookie, należące do nas lub do osób trzecich, do celów wydajności i służą reklamom zgodnym z Twoimi preferencjami dotyczącymi przeglądania, które mogą być dla Ciebie interesujące. Aby dowiedzieć się więcej o tym, jak używamy plików cookie lub zmienić preferencje dotyczące plików cookie, kliknij na "Ustawienia plików cookie". Możesz w każdej chwili zmienić te ustawienia odwiedzając naszą politykę cookies i postępując zgodnie z zawartymi w niej instrukcjami. Klikając na "Zaakceptuj wszystkie pliki cookie" wyrażasz zgodę na przechowywanie plików cookie w swoim urządzeniu.

Polityka plików cookie Ustawienia plików cookie Zaakceptuj wszystkie pliki cookie

Zarządzaj zgodami

Pliki cookie i inne technologie na tej stronie

Proszę zdecydować, czy ta strona może korzystać z plików cookie lub innych technologii, takich jak sygnały nawigacyjne w sieci web, znaczniki pikseli i obiekty Flash („Pliki cookie”), jak opisano poniżej. Więcej informacji na temat korzystania z plików cookie i związanych z nimi technologii można znaleźć w naszej polityce prywatności, do której odsyła poniższy link.

Polityka Prywatności

Funkcjonalne pliki cookie

Te pliki cookie umożliwiają nam analizę korzystania z witryny przez użytkownika w celu oceny i poprawy jej wydajności. Mogą one być również wykorzystywane do zapewnienia lepszej obsługi klienta na tej stronie. Na przykład: do zapamiętywania danych do logowania, zapisywania informacji o tym, co znajduje się w koszyku lub dostarczania nam informacji o sposobach korzystania z naszej witryny.

Pomiar wydajności

Te pliki cookie umożliwiają nam zliczanie wizyt i źródeł ruchu, dzięki czemu możemy mierzyć i poprawiać wydajność naszej witryny. Pomagają one ustalić, które strony są najbardziej i najmniej popularne i zobaczyć, jak odwiedzający poruszają się po stronie. Wszystkie informacje zbierane przez te pliki cookie są agregowane i tym samym anonimowe. Jeśli użytkownik nie zezwoli na stosowanie tych plików cookie, nie będziemy wiedzieć, kiedy odwiedził naszą stronę internetową.

Reklamowe pliki cookie

Te pliki cookie są wykorzystywane do wyświetlania reklam, które są bardziej dopasowane do użytkownika. Możemy dzielić się tymi informacjami z reklamodawcami lub wykorzystywać je w celu lepszego zrozumienia zainteresowań użytkownika. Reklamowe pliki cookie mogą być na przykład wykorzystywane do udostępniania danych reklamodawcom, tak aby reklamy, które widzi użytkownik były do niego bardziej dopasowane, aby mógł on udostępniać niektóre strony na portalach społecznościowych lub zamieszczać komentarze na naszej stronie.

Wymagane pliki cookie

Te pliki cookie są niezbędne, aby umożliwić korzystanie z podstawowych funkcji witryny, takich jak zapewnienie bezpiecznego logowania lub zapamiętywanie, na jakim etapie składania zamówienia jest użytkownik.

SAVE & ACCEPT

RODOradar.pl - Wszystko o RODO

Wychodząc naprzeciw trudnościom i wątpliwościom, jakie stwarza wdrażanie przepisów prawa ochrony danych osobowych, stworzyliśmy serwis, którego celem jest dostarczanie wiedzy i wskazówek pomocnych przy wdrażaniu RODO w organizacjach.

Potrzebujesz pomocy we wdrożeniu przepisów RODO w swojej organizacji?

SKONTAKTUJ SIĘ Z NAMI

Nawigacja

Aktualności
Tekst GDPR/RODO
O nas
Szkolenia
Wydarzenia
Regulamin
Polityka prywatności

Blog

O przetwarzaniu danych w badaniu klinicznym
Udostępnienie czy powierzenie przetwarzania danych osobowych?
Formularz kontaktowy a RODO
RODO a nowe prawo kosmetyczne
Dane biometryczne w pracy
Ochrona medycznych danych osobowych

Czytaj dalej >>