Wyzwania prawne związane z wykorzystaniem sztucznej inteligencji
Przełom technologiczny, nowe wyzwania
Każdy przełom w rozwoju technologicznym oznacza ogromne zmiany na poziomie jakościowym i ilościowym. W historii rozwoju sztucznej inteligencji z pewnością takim przełomem było przedstawienie w listopadzie 2022 roku narzędzia Chat GPT, stworzonego przez podmiot OpenAI. Ale czy to pierwsza sytuacja, w której na szerszą skalę spotykamy się z możliwościami technologii AI? Z pewnością nie.
Algorytmy sztucznej inteligencji są wykorzystywane w wielu dziedzinach, chociażby przez szeroko rozumiany rynek e-commerce – na przykład do automatycznej rekomendacji produktów w sklepach online. Chcę przez to pokazać, że Chat GPT to jedynie przykład wykorzystania generatywnej sztucznej inteligencji. A pojęcie to jest znacznie szersze i łączy w sobie takie dziedziny jak robotyka, analiza danych, analiza obrazów, dźwięku itd. Właśnie ta różnorodność aplikowania rozwiązań powstałych w oparciu o sztuczną inteligencję powoduje także wiele wyzwań natury prawnej.
Podejście do sztucznej inteligencji z pominięciem okoliczności, że może ona być wykorzystywana w sposób niewłaściwy, dostarczając przy tym określonej grupie osób efektywnych narzędzi do manipulacji oraz kontroli społecznej, jest po prostu myśleniem życzeniowym. O tych zagrożeniach można dowiedzieć się więcej, analizując chociażby system scoringu społecznego w Chinach i powstanie nowego ustroju społeczno-politycznego – algokracji, systemu opartego na dostępie do big data oraz sztucznej inteligencji. To jednak nie całość zagrożeń wynikających z wykorzystania AI.
Trzeba powiedzieć, że istnieją organizacje, które zakazują swoim pracownikom wykorzystania tej technologii w obawie przed skutkami błędnych działań czy też niewłaściwych decyzji podjętych w wyniku działania systemów AI. Przed AI Act stoi zatem trudne zadanie – nowe regulacje mają bowiem sprzyjać rozwojowi tej technologii, wzbudzeniu zaufania, a co za tym idzie – jej rozwojowi.
Wyzwania regulacyjne związane z AI
Trudno wskazać zamknięty katalog wyzwań związanych z wykorzystaniem sztucznej inteligencji, ponieważ AI jest złożoną dziedziną, która jest wynikiem przenikania się wielu innych sfer naszego życia. Z pewnością jednak można pokusić się o wskazanie głównych zagrożeń, do których należą:
- Dostrzeżenie tych wszystkich wyzwań sprawiło, że rozpoczęły się prace nad AI Act, czyli pierwszym na świecie prawem dotyczącym sztucznej inteligencji. Wszystko wskazuje na to, że wkrótce Europejczycy doczekają się aktu prawnego, który reguluje popularną technologię, której działania widzimy w niemalże każdym aspekcie naszego funkcjonowania i która do tej pory nie doczekała się regulacji prawnej.
Prace nad AI Act
Na jakim etapie prac nad AI Act jesteśmy? 14 czerwca 2023 roku odbyło się w Parlamencie Europejskim głosowanie nad Rozporządzeniem dotyczącym sztucznej inteligencji. Obecnie trwają tzw. ciche prace w ramach trilogów politycznych – to prace wewnątrz unijnych struktur Parlamentu Europejskiego, Rady i Komisji Europejskiej, których celem jest wypracowanie kompromisu legislacyjnego i ostatecznej akceptacji treści Rozporządzenia. Optymistyczny scenariusz zakłada, że ostateczny kształt Rozporządzenia zostanie opracowany do końca 2023 roku.
Warto wskazać, że obecnie w UE prezydencję sprawuje Hiszpania – jest to kraj, który zdaje się mieć poważne plany w zakresie objęcia pozycji europejskiego lidera w dziedzinie sztucznej inteligencji. Być może okoliczność ta wpłynie na przyśpieszenie prac nad aktem. Szybkość implementacji nowego prawa w dużej mierze związana jest z faktem, że przyjmuje ono formę rozporządzenia europejskiego, a nie dyrektywy. To rozróżnienie skutkuje tym, że uchwalone prawo zacznie obowiązywać wszystkich obywateli państw UE od konkretnej, wcześniej wyznaczonej daty, bez konieczności wprowadzania dodatkowych aktów prawnych na poziomie krajowym.
Istniejące ramy prawne
Zanim przejdziemy do szczegółowej analizy projektu AI Act, należy podkreślić, że istnieją już obecnie regulacje prawne, aplikowane w kontekście technologii sztucznej inteligencji. Przykłady to normy z zakresu polskiego prawa cywilnego dotyczące dóbr osobistych, które mogą być użyte chociażby w kontekście dezinformacji, tzw. deep fake, przepisy polskiego prawa karnego odnoszące się do zniesławienia, które także możemy zastosować do technologii deep fake, Ogólne Rozporządzenie o Ochronie Danych (RODO), prawo autorskie, a także europejskie normy prawne związane z prawami podstawowymi. Nie znajdujemy się zatem w legislacyjnej próżni.
Niemniej jednak AI Act stanowi ważny element technologiczno-prawnego systemu, który zwraca naszą uwagę na kwestie związane bezpośrednio z technologią sztucznej inteligencji. W obliczu jej dynamicznego rozwoju jest to z pewnością regulacja, na którą wielu z nas czeka.
Kluczowe punkty regulacyjne
Projekt Rozporządzenia określa zasady, według których systemy sztucznej inteligencji mogą być wprowadzane do obrotu, oddawane do użytku oraz eksploatowane. To kluczowe dla podmiotów, które planują wdrażać rozwiązania AI. Szczególne obowiązki projekt Rozporządzenia nakłada na systemy AI wysokiego ryzyka.
Rozporządzenie definiuje, co to są systemy AI wysokiego ryzyka, i nakłada na dostawców, importerów czy operatorów tych systemów dodatkowe obowiązki. Jest to istotne dla oceny ryzyka i określenia zasad odpowiedzialności. Co więcej, z projektu AI Act wynika, że istnieją określone obszary, w ramach projektu Rozporządzenia, w których wykorzystanie sztucznej inteligencji jest ograniczone lub zakazane. To istotne z punktu widzenia etyki i ochrony praw człowieka.
Projekt AI Act przewiduje także wymogi dotyczące przejrzystości, zwłaszcza w kontekście systemów AI, które wchodzą w interakcje z ludźmi oraz mogą przyczyniać się do wpływania na odbiór rzeczywistości przez społeczeństwo. Nie sposób pominąć tu regulacji dotyczących technologii deep fake, co ma znaczący wpływ na ochronę obywateli UE przed manipulacją i zapobieganie dezinformacji.
Rozporządzenie przewiduje także utworzenie organów, które będą stać na straży przestrzegania przepisów, udzielania porad i wsparcia oraz wymierzania sankcji za nieprzestrzeganie przepisów. W projekcie AI Act znajdziemy także regulacje odnoszące się do określenia kary za niedostosowanie się do przepisów, co jest ważne dla egzekwowania zasad w nim zawartych.
Systemy AI wysokiego ryzyka
Co to jest system wysokiego ryzyka i jakie musi spełnić wymogi? Projekt Rozporządzenia nakłada szereg obowiązków do spełnienia, dotyczących systemów AI wysokiego ryzyka. Dlatego też tak ważne jest zrozumienie, co dokładnie oznacza ten termin i jakie kryteria muszą być spełnione, aby system AI został sklasyfikowany jako taki.
Za system wysokiego ryzyka uznaje się system, który spełnia dwa poniższe warunki:
1. Został opracowany w celu lub wykorzystuje się go do określonych zastosowań, które mogą powodować szkodę dla zdrowia, bezpieczeństwa lub podstawowych praw osób fizycznych.
2. Został opracowany w celu lub wykorzystuje się go do określonych zastosowań, które mogą mieć znaczący wpływ na życie lub zachowanie dużej liczby osób.
To jednak nie wszystko. Oprócz systemów sztucznej inteligencji wysokiego ryzyka, o których mowa powyżej, za systemy wysokiego ryzyka uznaje się również systemy sztucznej inteligencji wchodzące w zakres co najmniej jednego z krytycznych obszarów i przypadków użycia, o których mowa w załączniku III do Rozporządzenia. Te obszary to między innymi:
– Zarządzanie i wykorzystywanie krytycznej infrastruktury.
– Edukacja i szkolenie.
– Zatrudnienie, dostęp do samozatrudnienia oraz zarządzanie zasobami ludzkimi.
– Dostęp do i korzystanie z usług publicznych.
– Wymiar sprawiedliwości i demokratyczne procesy.
– Zarządzanie migracją, granicami i azylem.
– Wymiar sprawiedliwości w sprawach karnych.
– Ochrona zdrowia.
Analiza tych przykładów pozwala zidentyfikować, które aspekty unijny ustawodawca uznał za wyjątkowo wrażliwe, wymagające klasyfikacji jako systemy wysokiego ryzyka. Zakwalifikowanie do systemu wysokiego ryzyka niesie ze sobą potrzebę wprowadzenia kompleksowych procedur i spełnienia określonych wymogów prawnych, które zostały omówione w dalszej części publikacji.
Wymogi prawne dla systemów wysokiego ryzyka
Przede wszystkim obowiązki te dotyczą implementacji, utrzymania i zarządzania systemem AI, a także tworzenia odpowiedniej dokumentacji. Warto zauważyć, że AI Act nakłada te obowiązki na systemy wysokiego ryzyka przez cały cykl życia, wymagając regularnego przeglądu i aktualizacji procedur zarządzania ryzykiem. To zapewnia ich ciągłą skuteczność i wymaga dokumentowania wszystkich kluczowych decyzji oraz działań związanych z realizacją obowiązków określonych przez AI Act.
Ponadto systemy wysokiego ryzyka korzystające z technik obejmujących trenowanie modeli, zgodnie z AI Act, muszą spełniać wymogi dotyczące jakości danych i ich zarządzania. AI Act określa szereg praktyk, które należy zastosować do danych, w tym zapewnienie przejrzystości pierwotnego celu ich gromadzenia oraz odpowiednich metod ich zbierania i przetwarzania.
AI Act stawia także wymagania przed systemami wysokiego ryzyka w kontekście danych treningowych, walidacyjnych i testowych. Te zbiory danych powinny być adekwatne, reprezentatywne, dokładnie zweryfikowane pod kątem błędów i jak najbardziej kompletne w kontekście ich przeznaczenia. Dodatkowo AI Act wymaga od systemów AI wysokiego ryzyka opracowania odpowiedniej dokumentacji technicznej oraz prowadzenia rejestru zdarzeń. W ten sposób kontrola systemu i rozliczenie z realizacji obowiązków prawnych będzie po prostu możliwe, a co za tym idzie, w dalszej perspektywie może to przyczynić się do zwiększenia bezpieczeństwa tych systemów oraz wzbudzenia zaufania.
Obowiązki dostawców, operatorów, importerów i dystrybutorów
Projekt AI Act wprowadza również specyficzne obowiązki dla dostawców i operatorów systemów AI wysokiego ryzyka. Te obowiązki koncentrują się na organizacji odpowiedniego systemu dbania o jakość i zarządzanie tymi systemami, a także na przeprowadzaniu procedur zgodności przed ich wprowadzeniem na rynek lub do użytku. Wymagane jest umieszczenie oznakowania CE na produktach, a także wdrożenie procedur testowania, badania i walidacji, które są stosowane na różnych etapach życia systemu.
Ponadto AI Act przewiduje szereg obowiązków w zakresie odpowiedniego rejestrowania zdarzeń, dokumentacji działań oraz obowiązków informacyjnych i współpracy z właściwymi organami. Osobne wymagania AI Act dotyczą także importerów i dystrybutorów systemów AI wysokiego ryzyka. Obowiązki te obejmują tworzenie dokumentacji i procedur, które mają potwierdzać zgodność systemu AI z prawem unijnym i jego bezpieczeństwo, oraz ustanawiają obowiązki informacyjne mające na celu zwiększenie przejrzystości ich działań.
Dla operatorów systemów wysokiego ryzyka AI Act nakłada obowiązki związane z używaniem systemów zgodnie z instrukcją, zapewnieniem odpowiednich danych wejściowych, a także gwarantowaniem nadzoru człowieka nad systemem i zapewnieniem adekwatności oraz reprezentatywności danych wejściowych w stosunku do przeznaczenia systemu. To oznacza, że podmioty korzystające z systemów AI wysokiego ryzyka mają szereg obowiązków do spełnienia w celu minimalizacji ryzyka i błędów.
Warto zwrócić uwagę na fakt, że obowiązki wyżej wskazanych podmiotów wzajemnie się przenikają. Celem unijnego ustawodawcy jest stworzenie systemu bezpiecznego, ale przede wszystkim szczelnego, w którym na różnych poziomach funkcjonowania systemu istnieją zaangażowane podmioty.
Regulacje dla generatywnej sztucznej inteligencji
Po 14 czerwca 2023 roku wprowadzono ważną modyfikację do projektu AI Act, która skupia się na uwzględnieniu przez unijnego ustawodawcę modeli generatywnych sztucznej inteligencji. Należy podkreślić, że modele generatywne stały się narzędziem często wykorzystywanym przez przedsiębiorców w procesach biznesowych, co sprawia, że ta zmiana ma znaczący wpływ na sporą część sektora prywatnego, który z tych rozwiązań korzysta, realizując codzienne zadania.
Głównym elementem tej modyfikacji są nowe obowiązki nałożone na dostawców modeli generatywnych. Projekt Rozporządzenia wymaga wykazania przez takiego dostawcę, że w trakcie projektowania, testowania i analizy modelu – od samego początku opracowania aż do jego finalizacji – identyfikowano, ograniczano i łagodzono zagrożenia, które można racjonalnie przewidzieć