Europejska ofensywa w budowie Wspólnego Cyfrowego Rynku
21 kwietnia Komisja Europejska (KE) ujawniła swój projekt nowej regulacji o Europejskim Podejściu do Sztucznej Inteligencji. Draft wyciekł tydzień wcześniej i wtedy można było już poznać ogólną filozofię, poprzez którą KE zamierza sprostać wyzwaniom związanym z rozwojem i coraz szerszym wprowadzaniem systemów AI do naszego życia codziennego. Zaprezentowany projekt jest częścią szerszej regulacyjnej ofensywy i tworzenia Wspólnego Rynku Cyfrowego, w której skład wchodzą również omawiane wcześniej przeze mnie European Data Strategy, Digital Governance Act i Digital Services Act.
Obecna regulacja jest wynikiem intensywnych prac komisji, które zainaugurowane zostały poprzez utworzenie wysokiej grupy ekspertów ds. AI (High Level Expert Group on AI), a potem publikację Białej Karty AI (White Paper on AI). Regulacja o Europejskim AI jest tymbardziej interesująca, że jest to pierwsza tego typu tak komprehensywna i ambitna inicjatywa, mająca na celu regulacje negatywnych skutków związanych z rozwojem systemów AI na świecie. Powodzenie lub nie tej regulacji, a także to czy przypadkiem nie sprawi ona, że poprzez nadmierne bariery prawno-administracyjne biznes nie będzie chciał rozwijać systemów AI w Europie, może zadecydować o ogólnym sukcesie całej Unii w tym strategicznym gospodarczo sektorze.
Niniejsza analiza podzielona jest na dwie części. W pierwszej części omawiam przedmiot i podmiot projektu regulacji, a następnie przedstawiam główne założenia i definicje, którymi posługuje się regulacja. W drugiej części i w następnym artykule omówię katalog zabronionych praktyk i obowiązki związane ze stosowaniem się do prawa (compliance) nakładane na producentów i użytkowników systemów AI o wysokim ryzyku, a także nadzór nad nimi.
Założenia regulacji
Zgodnie z deklaracjami KE celem nowej regulacji jest takie wprowadzanie na rynek i funkcjonowanie systemów AI (o wysokim ryzyku, co zostanie niżej omówione), które jest w zgodzie z wartościami zawartymi m.in. w karcie praw podstawowych UE. Systemy AI o wysokim ryzyku, poprzez swoją złożoność, nieprzejrzystość, zależność od danych—na podstawie których są rozwijane, i możliwość autonomicznego działania, mogą stanowić zagrożenie dla wartości takich jak prywatność, ochrona danych, równe traktowanie, wolność słowa, wolność zgromadzeń, prawo do sądu czy domniemanie niewinności. Z tego powodu, biorąc pod uwagę skale wyzwań i zagrożenia, ale także szans ekonomicznych związanych z rozwojem technologii, KE uznała, że instrument prawny w formie regulacji, oznaczający jednolitą regulacje na poziomie całej Unii, jest potrzebny.
Przedmiot regulacji – kwestia definicji
Regulacja definiuje i rozumie systemy sztucznej inteligencji (systemy AI) jako oprogramowanie, które dla danego zestawu zdefiniowanych przez człowieka celów potrafi generować wyniki, takie jak treści, prognozy, rekomendacje, oraz decyzje wpływające na realne lub wirtualne środowiska. Systemy AI, zgodnie z definicją w regulacji, są zaprojektowane by operować na różnych poziomach autonomii i mogą być używane jako komponent produktu, lub samodzielnie, w celu częściowej lub całkowitej automatyzacji pewnych przedsięwzięć, włączając świadczenie usług, zarządzanie procesami, podejmowanie decyzji, czy działanie. Jest to dosyć szeroka definicja i w zależności od postępów w dziedzinie AI należy zadać sobie pytanie czy jest ona wystarczająco pojemna by zabezpieczyć się przed jej nieaplikowalnością, w sytuacji potencjalnych radykalnych zmian w dziedzinie. Problem z tą definicją może również polegać na tym, że bez profesjonalnej wiedzy i ekspertyzy jest trudnym określenie na jej podstawie co właściwie jest, a co nie jest systemem AI, i czym AI różni się po prostu od zwykłego oprogramowania, i dlaczego jest to coś jakościowo innego. Annex do regulacji wylicza techniki komputerowe, które będą uznawane za używane w systemach AI, takie jak m.in. machine learning, jednak może to być definicja i wyliczenie zbyt mało precyzyjne, a jednocześnie zbyt mało elastyczne dla tak dynamicznie rozwijającej się dziedziny wiedzy, jaką są systemy AI. Dla instytucji odpowiedzialnych za nadzór i wprowadzanie tego prawa w życie skomplikowanie tej definicji na poziomie koncepcyjnym, nie wynikające nawet z użytego języka, lecz z samego w sobie skomplikowania dziedziny jaką jest AI, może stanowić duży problem. Tak samo jak problemem może być potem jak będzie ta i inne definicje interpretowane w sądach, które mogą być niezaznajomione z dziedziną, więc będą skazane na opinie biegłych, a także mogą być podatne na zdolności retoryczne stron potencjalnych sporów.
Systemy AI o wysokim ryzyku
Nowe prawo ma regulować wprowadzanie na rynek i do użytku systemów AI o wysokim ryzyku. Tworzy ono również system zasad i transparentności dla systemów AI, których celem jest interakcja z ludźmi, które generują, lub manipulują treściami, takimi jak wideo, zdjęcia, czy dźwięk. Klasyfikacja systemu AI jako systemu o wysokim ryzyku odbywa się na podstawie zamierzonego celu danego systemu AI, w zgodzie z wytycznymi regulacji dotyczących bezpieczeństwa produktów. Oznacza to, że klasyfikacja ta nie opiera się wyłącznie na konkretnych funkcjonalnościach danego systemu, lecz również na przyczynach dla których został on stworzony, i w związku z jego modalnościami użycia.
Kryterium określenia systemu, jako systemu o wysokim ryzyku to m.in. a) założony cel systemu AI, b) sposób w jaki system był używany, lub jest prawdopodobne, że będzie używany, c) czy system AI już spowodował jakieś szkody w zdrowiu, bezpieczeństwie, czy dla innych praw podstawowych, w stosunku do człowieka, lub grupy ludzi, d) potencjalny zasięg i intensywność możliwych szkód wyrządzonych człowiekowi, bądź grupie ludzi przez system, e) a także do jakiego stopnia osoby używające systemu AI są zależne od decyzji przez system podejmowanych.
Regulacja dzieli systemy AI o wysokim ryzyku na te, które mają być użyte jako komponent bezpieczeństwa w produktach osób trzecich, które to produkty są przedmiotem obowiązkowego audytu zgodności z prawem, lub takie które mogą być używane samodzielnie i w ten sposób mogą stanowić ryzyko dla praw podstawowych. Są to na przykład systemy identyfikacji i kategoryzacji biometrycznej z dystansu, używające np. wzoru twarzy, lub systemy służące do zarządzania infrastrukturą krytyczną, taką jak zarządzanie wodociągami, sygnalizacją świetlną, a także dostawami prądu i gazu. Mogą to być również systemy służące do przydzielania miejsc i kolejności w dostępie do usług publicznych, lub decydujące o zatrudnieniu, również w sektorze prywatnym, tak jak systemy decydujące o tym, kto dostał się na studia, czy przesiewające kandydatów na daną pozycję w pracy. Jako systemy o wysokim ryzyku regulacja uznaje również systemy AI, które będą decydowały, lub asystowały w podejmowaniu decyzji co do zdolności kredytowej, ocenie ryzyka ubezpieczeniowego, lecz także systemy wspomagające służby publiczne w ich funkcjach policyjnych, takie jak np. rozpoznawanie prawdomówności, emocji i ogólnie w analityce kryminalistycznej.
Zgodnie z podejściem do regulacji opartym na ryzyku, które można odnaleźć również w GDPR, systemy AI o wysokim ryzyku będą mogły być wprowadzane na rynek europejski, z zastrzeżeniem przejścia procedury zgodności z prawem, która zakłada pewne obowiązki, do których należy się stosować w czasie tworzenia systemu.
Dostawcy i użytkownicy systemów AI
Nowe prawo będzie przedewszystkim stosowane w stosunku do dostawców systemów AI o wysokim ryzyku i użytkowników systemów AI o wysokim ryzyku, czyli tych, którzy będą je stosowali i pod których nadzorem system operuje. Będzie ono aplikowało się do nich jeżeli systemy AI o wysokim ryzyku będą używane na terenie Unii. To dostawcy i użytkownicy będą przedmiotem szczegółowych ex ante i ex post procedur zgodności z prawem.
Wstępna refleksja
W drugiej części artykułu omówione zostaną zabronione systemy AI o wysokim ryzyku i zabronione praktyki z nimi związane, a także procedury zgodności z prawem, obowiązujące producentów i użytkowników. Jednak już na poziomie definicji i tego jak projekt klasyfikuje systemy AI o wysokim ryzyku można pokusić się o jeden wniosek. Przedewszystkim niezależnie od merytorycznej wartości i poziomu regulacji, tak jak by ją widzieli prawnicy, jej efekty i jej rozumienie może być zupełnie inne dla prawników i deweloperów tych systemów. Dla prawnika może wydać się, że regulacja jest racjonalna i stosowanie się do niej nie powinno sprawiać problemów, jednak dla dewelopera może być to bariera nie do przejścia, która zniechęci go do rozwijania swoich systemów w Europie, albo do rozwijania ich w ogóle. Ten efekt można do pewnego stopnia zaobserwować w kontekście ochrony danych osobowych, gdzie GDPR wywołało do pewnego stopnia efekt mrożący i poprzez swoje skomplikowanie tworzy atmosferę strachu i niepewności, co do tego jak dane personalne powinny być przetwarzane przez firmy, zwłaszcza te które nie stać na wysokiej jakości usługi prawne.
Jan Czarnocki – doktorant i stypendysta im. Marii Skłodowskiej-Curie w Centrum Prawa Technologii Informacyjnych i Ochrony Własności Intelektualnej Katolickiego Uniwersytetu w Leuven. W swojej pracy bada zagadnienia związane z ochroną prywatności i danych, koncentrując się na ochronie danych biometrycznych i zdrowotnych, w kontekście Internetu Rzeczy i algorytmów Sztucznej Intelignencji. Przed tym pracował jako stażysta w Dyrektoracie Spraw Zagranicznych, w Sekretariacie Europejskiej Partii Ludowej w Parlamencie Europejskim, a także w Centrum Studiów Europejskich im. Wilfrieda Martensa. Uzyskał tytuł magistra prawa na Uniwersytecie Warszawskim i tytuł LL.M prawa porównaczego na Chińskim Uniwersytecie Nauk Politycznych i Prawnych w Pekinie. Oprócz prawa interesuje się geopolityką, ekonomią, filozofią i biznesem w sieci.
Sfinansowano przez Narodowy Instytut Wolności - Centrum Rozwoju Społeczeństwa Obywatelskiego ze środków Programu Rozwoju Organizacji Obywatelskich na lata 2018 – 2030
