Sztuczna inteligencja w objęciach prawa unijnego. Główne problemy regulacyjne w czasie inkubacyjnym.
16.01.2024
Autor: dr Adam Rogala - Lewicki
Sztuczną inteligencję w UE będą regulować pierwsze na świecie kompleksowe przepisy dotyczące AI – Akt o sztucznej inteligencji (Regulation of the European Parliament and of the Council laying down harmonised rules on Artificial Intelligence – Artificial Intelligence Act).
Unijne rozporządzenie to przełomowy akt prawny, wykraczający poza skalę europejską. Na szczeblu międzynarodowym Organizacja Współpracy Gospodarczej i Rozwoju (OECD) przyjęła (niewiążące) zalecenie w sprawie sztucznej inteligencji w 2019 roku, UNESCO przyjęło zalecenia w sprawie etyki sztucznej inteligencji w 2021 roku, Rada Europy pracuje obecnie nad międzynarodową konwencją w sprawie AI.
W przestrzeni Unii Europejskiej prace toczą się od dłuższego czasu. I tak, Parlament Europejski wezwał Komisję Europejską do oceny wpływu sztucznej inteligencji i opracowania unijnych ram dla sztucznej inteligencji w swoich szeroko zakrojonych zaleceniach z 2017 roku w sprawie przepisów prawa cywilnego dotyczących robotyki. W 2019 roku Niezależna Grupa Ekspertów Wysokiego Szczebla do spraw Sztucznej Inteligencji przyjęła Wytyczne w zakresie etyki dotyczące godnej zaufania sztucznej inteligencji. W Białej księdze w sprawie sztucznej inteligencji z 2020 roku Komisja Europejska zobowiązała się do promowania wykorzystania sztucznej inteligencji i przeciwdziałania zagrożeniom związanym z niektórymi zastosowaniami tej nowej technologii. W 2020 i 2021 roku Parlament przyjął szereg rezolucji wzywających do przyjęcia przepisów UE w dziedzinie sztucznej inteligencji. W pierwszej rezolucji zwrócono się do Komisji aby ustanowiła ramy prawne zasad etycznych dotyczących opracowywania, wdrażania i wykorzystywania sztucznej inteligencji, robotyki i powiązanych technologii w Unii. W drugiej rezolucji wezwano do harmonizacji ram prawnych dotyczących roszczeń z tytułu odpowiedzialności cywilnej i nałożenia odpowiedzialności na operatorów systemów AI wysokiego ryzyka. Ponadto Parlament przyjął szereg zaleceń wzywających do wspólnego podejścia UE do AI w zakresie własności intelektualnej, prawa karnego, edukacji, kultury i obszarów audiowizualnych, a także w odniesieniu do cywilnych i wojskowych zastosowań AI.
14 czerwca 2023 roku Parlament Europejski uchwalił akt (przyjmując stanowisko negocjacyjne, w ramach trójstronnych negocjacji (tzw. trilogi, czyli negocjacje pomiędzy PE, Radą i Komisją Europejską). 9 grudnia 2023 roku doszło po prawie 15 godzinach negocjacji (które nastąpiły po prawie 24-godzinnej debacie poprzedniego dnia) do porozumienia między krajami UE a członkami Parlamentu Europejskiego. Europa tym samym zajęła pozycję pioniera normatywnego w obszarze AI, przy czym należy pamiętać, że akt przewiduje aż dwuletnie vacatio legis.
Ogólnym celem proponowanego aktu o sztucznej inteligencji, zaprezentowanego w kwietniu 2021 roku, jest zapewnienie prawidłowego funkcjonowania jednolitego rynku poprzez stworzenie warunków dla rozwoju i wykorzystywania godnych zaufania systemów sztucznej inteligencji w Unii.
W powszechnym odczuciu społecznym oczekuje się, że technologie sztucznej inteligencji przyniosą szeroki wachlarz korzyści ekonomicznych i społecznych w wielu sektorach gospodarki. Są one szczególnie przydatne do poprawy przewidywania, optymalizacji operacji i alokacji zasobów oraz personalizacji usług. Równocześnie zwraca się uwagę na wpływ systemów sztucznej inteligencji na prawa podstawowe (chronione chociażby na mocy Karty praw podstawowych UE). W szczególności systemy AI mogą zagrażać prawom podstawowym, takim jak prawo do niedyskryminacji, wolności słowa, godności ludzkiej, ochrony danych osobowych i prywatności. Politycy zobowiązali się do opracowania „humanocentrycznego” podejścia do sztucznej inteligencji, aby zapewnić Europejczykom możliwość korzystania z nowych technologii zgodnie z unijnymi wartościami i zasadami, w szczególności założono szereg celów szczegółowych: (i) zapewnienie, że systemy AI wprowadzane na rynek na rynek UE będą bezpieczne i zgodne z obowiązującym prawem UE, (ii) zapewnienie pewności prawa w celu ułatwienia inwestycji i innowacji, (iii) wzmocnienie zarządzania i skutecznego egzekwowania prawa UE w zakresie praw podstawowych i wymogów bezpieczeństwa, (iv) ułatwienie rozwoju jednolitego rynku dla zgodnych z prawem, bezpiecznych i godnych zaufania aplikacji AI oraz (v) zapobieganie fragmentacji rynku.
Nowe ramy AI, oparte na art. 1149 i art. 1610 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE), w założeniu miały zawierać neutralną technologicznie definicję systemów sztucznej inteligencji, ustanowienie klasyfikacji systemów AI z różnymi wymogami i obowiązkami dostosowanymi do „podejścia opartego na ryzyku”. Systemy AI stwarzające „niedopuszczalne” ryzyko byłyby zakazane. Systemy AI „wysokiego ryzyka” byłyby dozwolone, ale podlegałby zestawowi wymogów i obowiązków. Te systemy sztucznej inteligencji, które stwarzałyby jedynie „ograniczone ryzyko” podlegałyby ograniczonym obowiązkom w zakresie przejrzystości.
Przyjęte przepisy AI ACT dotyczą wszystkich podmiotów, które wprowadzają do obrotu lub oddają do użytku systemy (niezależnie od tego, czy mają swoją siedzibę w UE, a zatem np. Google Inc. w przypadku Barda), jeżeli skutki związane z wykorzystanie dostarczonych przez nich systemów powstają na terenie Unii. Rozporządzenie wprowadza kategoryzację systemów, na te stwarzające (i) niedopuszczalne ryzyko, (ii) wysokie ryzyko, (iii) ograniczone ryzyko oraz (iv) niskie lub minimalne ryzyko. I tak:
Wszystkie systemy sztucznej inteligencji wysokiego ryzyka podlegają zestawowi nowych obowiązków, w tym m.in. ocena zgodności ex ante działania takich systemów pod kątem wpływu na prawa podstawowe osób fizycznych, zarejestrowanie systemów w ogólnounijnej bazie danych zarządzanej przez Komisję przed wprowadzeniem ich na rynek lub do użytku. Systemy AI wysokiego ryzyka wykorzystywane do identyfikacji biometrycznej wymagałyby oceny zgodności przez „jednostkę notyfikowaną”. Oczywiście dostawcy systemów sztucznej inteligencji wysokiego ryzyka zobowiązani są wdrożyć odpowiednie środki bezpieczeństwa. Systemy muszą spełniać szereg wymogów w szczególności w zakresie zarządzania ryzykiem, testowania, solidności technicznej, szkolenia w zakresie danych i zarządzania danymi, przejrzystości, nadzoru ludzkiego i cyberbezpieczeństwa (art. 8-15). Dostawcy spoza UE muszą posiadać autoryzowanego przedstawiciela w UE, który będzie m.in, zapewniał ocenę zgodności, system monitorowania po wprowadzeniu do obrotu i w razie potrzeby podejmował działania naprawcze.
Systemy AI stwarzające „ograniczone ryzyko”, takie jak systemy generatywne wchodzące w interakcje z ludźmi (tj. chatboty, jak np. ChatGPT), systemy rozpoznawania emocji, systemy kategoryzacji biometrycznej i systemy sztucznej inteligencji, które generują lub manipulują treściami graficznymi, audio lub wideo [jak np. sieci kontradyktoryjne (GANs), wariancyjne autoenkodery (VAEs), czy deepfakes], podlegałyby ograniczonemu zestawowi obowiązków w zakresie przejrzystości. Po interakcji z tymi aplikacjami użytkownik będzie mógł zdecydować, czy chce z nich dalej korzystać. Użytkownicy powinni być świadomi, że interakcja odbywa się ze sztuczną inteligencją. W każdym przypadku konieczne będzie informowanie użytkowników o tym, że mają oni do czynienia z treściami generowanymi przez AI.
Wszystkie inne systemy sztucznej inteligencji stwarzające jedynie niskie lub minimalne ryzyko mogą być opracowywane i wykorzystywane w UE bez konieczności spełniania rozbudowanych obowiązków prawnych. Rozporządzenie przewiduje możliwość stosowania kodeksów postępowania, aby zachęcić dostawców systemów sztucznej inteligencji nieobarczonych wysokim ryzykiem do dobrowolnego stosowania obowiązkowych wymogów dla systemów AI wysokiego ryzyka.
Akt nakłada na państwa członkowskie wymóg wyznaczenia jednego lub większej liczby właściwych organów, w tym krajowego organu nadzoru, którego zadaniem będzie nadzorowanie stosowania i wdrażania rozporządzenia, a także ustanawia Europejską Radę ds. Sztucznej Inteligencji (złożoną z przedstawicieli państw członkowskich i Komisji).
W przypadku uporczywego nieprzestrzegania przepisów państwa członkowskie mogą podjąć wszelkie odpowiednie środki w celu środki w celu ograniczenia, zakazania, wycofania lub wycofania z rynku danego systemu AI wysokiego ryzyka. Przewidziane kary administracyjne to od 7,5 mln euro lub 1,5% całkowitego rocznego światowego obrotu, do 35 mln euro lub 7% całkowitego rocznego światowego obrotu, w zależności od wagi naruszenia
Rozporządzenie przyznaje także osobom, których prawa zostały naruszone decyzją wydaną z wykorzystaniem systemu sztucznej inteligencji, do wniesienia skargi do właściwego organu państwowego, a także zaskarżenie do sądu.
Prawna definicja systemów sztucznej inteligencji zawarta w rozporządzeniu została poddana ostrej krytyce. Niektórzy interesariusze podkreślają, że definicja systemów AI jest dość szeroka i może obejmować znacznie więcej niż to, co jest subiektywnie rozumiane jako AI, w tym najprostsze algorytmy wyszukiwania, sortowania i routingu, co w konsekwencji może prowadzić do „nadregulacji”. Problem dotyczy też traktowania tzw. „wstępnych komponentów AI”. Brak jasności definicji może prowadzić do niepewności prawnej, zwłaszcza w przypadku niektórych systemów, które nie kwalifikowałyby się jako systemy AI, podczas gdy ich użycie może mieć wpływ na prawa podstawowe. Niektóre środowiska wzywają prawodawców UE do wyłączenia systemów sztucznej inteligencji opracowanych i wykorzystywanych do celów badawczych i oprogramowania open source (OSS) z regulacji. Inni komentatorzy kwestionują czy proponowana definicja jest rzeczywiście neutralna technologicznie ponieważ odnosi się przede wszystkim do oprogramowania, pomijając potencjalne przyszłe rozwiązania technologiczne w dziedzinie sztucznej inteligencji.
Francja, Niemcy i Włochy sprzeciwiły się regulowaniu modeli podstawowych, argumentując, że hamowałoby to rozwój europejskich systemów AI. 18 listopada 2023 roku państwa te opublikowały wspólny dokument, tzw. non-paper, który odzwierciedla wspólne stanowisko trzech głównych gospodarek europejskich w kwestii modeli podstawowych.
Grupa biznesowa DigitalEurope skrytykowała przepisy, uznając je za kolejne obciążenie dla firm. Z kolei European Enterprises Alliance podkreśla, że istnieje ogólna niepewność co do ról i obowiązków różnych podmiotów w łańcuchu wartości AI (deweloperów, dostawców i użytkowników AI). Jest to szczególnie trudne dla firm dostarczających aplikacje i interfejsy programowania aplikacji ogólnego przeznaczenia lub modele AI typu open source, które nie są specjalnie przeznaczone dla systemów AI ale mimo to są wykorzystywane przez strony trzecie w sposób, który można uznać za obarczony wysokim ryzykiem. AlgorithmWatch podkreśla, że zastosowanie konkretnych zasad nie powinno zależeć od rodzaju technologii, ale od jej wpływu na jednostki i środowisko.
Niektóre zainteresowane strony (głównie organizacje – obrońcy praw człowieka) wzywają do wprowadzenia zakazu masowego dla arbitralnie ukierunkowanego wykorzystania danych biometrycznych w przestrzeni publicznej. Grupa AccessNow twierdzi, że przepisy dotyczące zakazanych praktyk AI są zbyt niejasne, i proponuje szerszy zakaz wykorzystywania sztucznej inteligencji do kategoryzowania ludzi na podstawie danych fizjologicznych, behawioralnych lub biometrycznych (w tym do rozpoznawania emocji, a także niebezpiecznych zastosowań w kontekście działań policyjnych, migracji, azylu i zarządzania granicami). Proponują zakazanie istniejących manipulacyjnych systemów sztucznej inteligencji (np. deepfake), scoringu społecznościowego i niektórych danych biometrycznych. Ponadto niektórzy podkreślają, że akt nie odnosi się do systemowych zagrożeń dla zrównoważonego rozwoju stwarzanych przez sztuczną inteligencję zwłaszcza w obszarze ochrony klimatu i środowiska.
Co do zasady wszyscy z zadowoleniem przyjmują podejście oparte na ryzyku (znane chociażby z RODO, NIS czy DORA). Niemniej jedną z głównych obaw ekspertów jest to, że przepisy dotyczące praktyk wysokiego ryzyka mogą okazać się nieskuteczne w rzeczywistości, ponieważ ocenę ryzyka pozostawia się samoocenie dostawcy usług, który może celowo ją dostosowywać (manipulować) do poziomu własnego interesu biznesowego.
Eksperci podnoszą obawy dotyczące nadmiernego delegowania uprawnień regulacyjnych na prywatne europejskie organizacje normalizacyjne, brak demokratycznego nadzoru, w tym braku możliwości wpływania przez interesariuszy (organizacje społeczeństwa obywatelskiego, stowarzyszenia konsumenckie) na opracowywanie norm oraz brak środków sądowych umożliwiających ich kontrolę po ich przyjęciu. Zalecają, aby rozporządzenie kodyfikowało zestaw prawnie wiążących wymogów dla systemów sztucznej inteligencji wysokiego ryzyka (np. zakazane formy dyskryminacji algorytmicznej).
Przyjęcie pierwszych regulacji prawnych w obszarze sztucznej inteligencji – rozumiane jako osiągnięcie trudnego konsensusu pomiędzy państwami, gospodarkami Unii Europejskiej – należy niewątpliwie uznać za sukces. Natomiast sama treść aktu i proponowane w nim rozwiązania już wzbudzają kontrowersję. Główna oś sporu rozgranicza zwolenników wolnego rynku (zarzucających „nadregulację” i ograniczanie swobody technologicznej, a w konsekwencji rynku i rozwoju) od obrońców praw obywatelskich (w szczególności prywatności) wskazujących na ryzyka i zagrożenia. Skuteczność rozwiązań normatywnych (np. kwestia dokonywania autooceny ex ante) – co jasne – zostanie zweryfikowana dopiero w praktyce. Przyjęcie aktu pozwala jednak (przy zastrzeżeniu długiego okresu vacatio legis) przejść z poziomu dyskusji na poziom normatywny funkcjonowania sztucznej inteligencji (ze wszystkimi z tego tytułu płynącymi konsekwencjami w warstwie jurysprudencji, orzecznictwa czy doktryny).
Autor
dr Adam Rogala - Lewicki
Adwokat, Konsultant ds. Danych Osobowych. Prawnik z doświadczeniem w zakresie obsługi podmiotów korporacyjnych w ramach obrotu cywilnego, handlowego i gospodarczego, specjalizujący się w prawie ochrony danych osobowych, bezpieczeństwa informacji, nowych technologii oraz własności intelektualnej. Specjalista w zakresie audytowania i wdrażania systemów ochrony danych osobowych, zarządzania bezpieczeństwem informacji, compliance, corporate governance i due diligence. W obszarze danych osobowych również pełnomocnik w sporach z PUODO oraz GIODO. Studiował na Uniwersytecie Warszawskim, Uniwersytecie im. Kardynała Stefana Wyszyńskiego w Warszawie, Uniwersytecie Paris X Nanterre, w Akademii Obrony Narodowej, był stypendystą Funduszu Stypendialnego i Szkoleniowego na Uniwersytecie w Oslo i w Liechtenstein Institute oraz rządu Indii w International Management Institute w New Delhi. W pracy posługuje się również językiem angielskim i francuskim.
Kategorie
Dołącz do listy mailingowej i otrzymuj od nas zawsze aktualne informcje!