Sztuczna Inteligencja coraz bliżej unormowania

Generalnie coraz bliżej mamy do unormowania zasad działania sztucznej inteligencji na forum unijnym. Całkiem niedawno Rada Unii Europejskiej przyjęła wspólne stanowisko w sprawie rozporządzenia regulującego działanie sztucznej inteligencji. Tym samym korzystające z niej przedsiębiorstwa liczyć się muszą z dodatkowymi kosztami, jak i obowiązkami.

Co zatem wiedzieć powinniśmy o regułach dotyczących funkcjonowania sztucznej inteligencji?

Rozporządzenie zwane AI Act (The Artificial Intelligence Act) ma zgodnie z jego preambułą “poprawić funkcjonowanie rynku wewnętrznego poprzez ustanowienie jednolitych ram prawnych“, lecz również zapewnić “wysoki poziom ochrony zdrowia, bezpieczeństwa i praw podstawowych“ w obliczu rosnących możliwości systemów opartych na sztucznej inteligencji (AI).

Jak podkreśla dr Aleksandra Auleytner, partner w Kancelarii Domański Zakrzewski Palinka, regulacja ta jest rzeczywiście bardzo potrzebna, odpowiadając na ryzyko kolizji działania systemów sztucznej inteligencji z prawami podstawowymi osób poddanych działaniu tychże systemów. W tym kontekście mowa chociażby jest o prawie do prywatności, swobodzie wypowiedzi czy też prawie do udziału w życiu publicznym. W tym kontekście obecne unijne regulacje, jak chociażby RODO czy też przepisy o produktach niebezpiecznych, nie są wystarczające.

Po trwających wiele miesięcy negocjacjach unijni ministrowie w ubiegłym tygodniu zaakceptowali ostateczny wariant rozporządzenia i wersja ta będzie bazą do finalnych ustaleń podczas negocjacji z Parlamentem Europejskim. Praca nad projektem oraz setkami zgłoszonych poprawek trwają, a głosowanie w Parlamencie Europejskim przewidziane jest wstępnie na okolice marca przyszłego roku.

Pomimo jednak zapewnień o dążeniu do ochrony praw podstawowych mieszkańców Unii Europejskiej, projekt wzbudził wiele uwag ze strony europejskich organizacji pozarządowych. Postulują one rozszerzenie listy zakazanych zastosowań AI oraz zapewnienie, że kryteria uznawania systemów za stwarzające ryzyko będą mogły być odpowiednio szybko aktualizowane w odpowiedzi na rozwój technologii. Jak podkreśla Katarzyna Szymielewicz, prezes Fundacji Panoptykon, rozporządzenie zasadniczo ogranicza się do regulacji bezpieczeństwa produktów zawierających AI. Tym samym w zamyśle Komisji Europejskiej jest to bardziej narzędzie certyfikacji dla wybranych obszarów, w których AI wiąże się z wyższym ryzykiem, lecz generalnie nic więcej. To zaś oznacza, iż praw ludzi w tym projekcie w zasadzie nie ma.

Co zatem wiadomo o projekcie rozporządzenia odnośnie zastosowania AI?

Zasadniczo podstawowym założeniem projektu jest podejście oparte na ryzyku. Przedstawiciele Komisji Europejskiej stwierdzili, iż w zależności od ryzyka, niektórych systemów AI trzeba zakazać, inne poddać wymogom dotyczącym ich rozwijania i nadzoru nad działaniem, a reszcie pozostawić swobodę.

Zdaniem dr Aleksandry Auleytner, podejście oparte na ocenie ryzyka jest pragmatyczne i w pewnym stopniu odpowiada temu, co unijny ustawodawca zastosował już przykładowo chociażby w odniesieniu do RODO czy też przepisów o cyberbezpieczeństwie. Tym samym przedsiębiorcy są więc już w jakimś zakresie zaznajomieni z takim punktem widzenia.

Zgodnie z przyjętym przez Radę Unii Europejskiej projektem zakazane mają być:

  • techniki wpływania na ludzkie zachowanie podświadomie lub z wykorzystaniem słabości ze względu na wiek, niepełnosprawność albo szczególną sytuację społeczną czy też ekonomiczną
  • systemy oceny obywateli podobne do rozwiązań znanych z Chin
  • częściowo zakaz objąć ma identyfikację biometryczną w czasie rzeczywistym, chociaż tutaj projekt przewiduje szeroko zakrojone wyjątki przewidziane dla organów ścigania

Zdaniem Katarzyny Szymielewicz rozwiązaniem lepszym od projektowanych zakazów byłby obowiązek przeprowadzania analizy ryzyka, uwzględniający prawa człowieka, dla wszystkich systemów, które mogą na ludzi oddziaływać. Taka bowiem analiza, jeżeli byłaby rzetelnie prowadzona i kontrolowana przez niezależny organ, mogłaby wyłapać wszystkie systemy, które w konkretnym kontekście naruszają prawa ludzi i dlatego nie powinny być wdrażane.

Tymczasem sztywne ramy zakazów mają tę wadę, iż łatwo je ominąć, szybko się starzeją, szczególnie w tak dynamicznym sektorze, w jakim działa AI. Generalnie zakazy projektowane przez Komisję Europejską przypominają wręcz ser szwajcarski, gdyż jest w nich więcej dziur aniżeli norm prawnych. Wręcz do tego stopnia, iż poza dwoma przykładami powracającymi w debacie publicznej (czyli obowiązkowym systemem scoringu społecznego na wzór chiński oraz rozpoznawaniem twarzy w czasie rzeczywistym), trudno wyobrazić sobie system, który byłby tymi zakazami objęty. Poza tym, tak naprawdę nie wiadomo jak przedstawiciele Unii Europejskiej zamierzają owych zakazów pilnować, skoro użytkownicy systemów AI nie muszą publicznie informować o tym, co wdrażają i jakie ryzyka się z tym wiążą (obowiązku takiego nie przewidziano nawet dla policji czy też ZUS).

Co jeszcze powinniśmy wiedzieć o projektowanych zasadach rozporządzenia regulującego działanie AI?

Przewiduje się, iż systemy wysokiego ryzyka będą dopuszczalne, lecz pod warunkiem spełnienia określonych wymogów w tym kontekście. Chodzi w tym względzie o:

  • odpowiednią jakość danych używanych do trenowania AI
  • testy przed wypuszczeniem oprogramowania na rynek
  • obowiązek zapisywania działań podejmowanych przez system
  • konieczność zapewnienia ludzkiego nadzoru nad jego funkcjonowaniem

Dostawcy takich systemów będą musieli sami przeprowadzać ocenę zgodności swoich produktów z przepisami bądź też, w określonych przypadkach, poddać się kontroli zewnętrznej. Generalnie przepisy te przyniosą bardzo wiele obowiązków związanych z dostosowaniem się do nich, wymagając działania z dużym wyprzedzeniem. Szacuje się, iż cały okres przygotowań zająć może przedsiębiorstwom od 8 do 12 miesięcy.

Konieczne będzie między innymi:

  • przygotowanie odpowiedniej dokumentacji technicznej
  • przechowywanie rejestrów zdarzeń
  • stworzenie systemów zarządzania ryzykiem i jakością
  • zaplanowanie ewentualnych działań naprawczych w razie niespełnienia przez system nowych wymogów
  • wypełnienie obowiązków rejestracyjnych i informacyjnych

Systemy wysokiego ryzyka szczegółowo określać będzie załącznik do rozporządzenia. Zgodnie z nim za stwarzające wysokie zagrożenie mają być uznane systemy sztucznej inteligencji przeznaczone do:

  • rekrutacji czy też wyboru osób fizycznych, w szczególności do celów umieszczania ukierunkowanych ogłoszeń o pracę, analizowania ich, filtrowania podań o pracę oraz do oceny kandydatów
  • podejmowania decyzji o awansie i rozwiązaniu stosunku pracy, przydzielania zadań na podstawie indywidualnych zachowań bądź też cech osobowości oraz do monitorowania i oceny wydajności oraz zachowania osób
  • oceny kwalifikowalności osób fizycznych do podstawowych świadczeń usług publicznych przez organy publiczne
  • oceny zdolności kredytowej osób fizycznych lub ustalania ich punktowej oceny kredytowej
  • oceny ryzyka i ustalenia stawki dla osób fizycznych w przypadku ubezpieczeń na życie bądź zdrowotnych
  • oceny ryzyka popełnienia przestępstwa lub ponownego popełnienia przestępstwa dokonywane przez organy ścigania
  • rozpatrywania wniosków o udzielenie azylu, o wydanie wizy i dokumentów pobytowych oraz związanych z nimi skarg
  • interpretacje stanu faktycznego lub przepisów prawa oraz zastosowania prawa do konkretnego stanu faktycznego przez organy sądowe

Projekt generować będzie znaczne koszty po stronie przedsiębiorców pod kątem przystosowania się do nowych wymogów i jest już szeroko dyskutowany również poza Unią Europejską, szczególnie w Stanach Zjednoczonych. Prace nad rozporządzeniem powodują wręcz pewien niepokój dotyczący tego jak dostosowywać się do tych nowych wymogów, by móc prowadzić działalność na terenie Unii Europejskiej.

Co wzbudza wątpliwości ekspertów w kontekście planowanego rozporządzenia dotyczącego działanie AI?

Generalnie specjaliści podkreślają wiele wątpliwości odnośnie planowanych mechanizmów kontroli przez krajowe organy, a szczególnie dotyczą one obszaru egzekwowania przepisów rozporządzenia. Wątpliwości budzi kwestia praktyczna związana z mechanizmem wyznaczania stałych przedstawicieli dostawców spoza Unii Europejskiej na terenie Unii. To właśnie ci przedstawiciele mieliby być odpowiedzialni za ocenę zgodności, monitorowanie systemu po wprowadzeniu do obrotu, jak i podejmowanie w razie potrzeby działań naprawczych.

Katarzyna Szymielewicz podkreśla ponadto, iż w projekcie pierwotnym Komisji Europejskiej zabrakło pewnych bardzo istotnych elementów, lecz już w wersji obecnej rozporządzenia, zaakceptowanej przez Radę Unii Europejskiej, zostało to zmienione. Pierwotnie projekt Komisji Europejskiej nie dawał bowiem ludziom ani organizacjom społecznym prawa do tego, by poskarżyć się organowi nadzorującemu rynek na naruszenie przepisów rozporządzenia. Tymczasem bez tego typu mechanizmów kontrolnych, umożliwiających sygnalizowanie problemów, organy nadzoru pozostawałyby ślepe i głuche na to, co rzeczywiście dzieje się blisko ludzi. Obecna wersja jednak już takie możliwości zawiera. Przewiduje się, iż rozporządzenie zacznie być stosowane trzy lata po ogłoszeniu w unijnym dzienniku urzędowym.

Podsumowując, generalnie coraz bliżej już do tego, by na poziomie Unii Europejskiej powstały przepisy regulujące działanie sztucznej inteligencji. W tym kontekście Rada Unii Europejskiej przyjęła obecnie wspólne stanowisko w sprawie rozporządzenia regulującego działanie AI i wersja ta będzie bazą do finalnych ustaleń podczas negocjacji z Parlamentem Europejskim. Prawdopodobne jest, iż głosowanie nad owym aktem prawnym odbędzie się pod koniec pierwszego kwartału przyszłego roku. Rozporządzenie wzbudza nadal sporo wątpliwości, bowiem z jednej strony nakłada na przedsiębiorstwa wiele dodatkowych obowiązków, jak i kosztów, a z drugiej strony, niekoniecznie rozwiązuje wszystkie problemy związane z zastosowaniem systemów sztucznej inteligencji w życiu codziennym mieszkańców Unii Europejskiej.