W pierwszej części artykułu omówione zostały główne założenia, definicje, a także przedmiot i podmiot projektu Regulacji o Europejskim Podejściu do Sztucznej Inteligencji. W tej części omówiony zostanie katalog zakazanych praktyk systemów AI, system audytu prawnego i nadzoru, a także wymogi transparentności, dla pewnych systemów AI.
Katalog zakazanych praktyk systemów AI
W ramach nowego prawa stworzony zostaje katalog zakazanych praktyk AI. Lista i zakazy są komplementarne z innymi katalogami zakazanych praktyk, które mogą występować w związku z coraz szerszym użytkowaniem nowych technologii, tak jak katalogii w prawie ochrony konkurencji i konsumenta i w prawie ochrony prywatności i danych osobowych.
Regulacja zabrania wprowadzania na rynek systemów AI, które używają technik podprogowych, które działają poza świadomością człowieka i których celem jest wpływ na działanie człowieka, które sprawia, lub może sprawić, że danej osobie zostanie wyrządzona szeroko pojęta krzywda. Zabronione są również systemy, które czerpią korzyść z manipulacji zachowaniem, na szkodę określonych grup społecznych, poprzez wykorzystanie ich podatności na pewne czynniki i bodźce. Te grupy, które z pomocą technik profilowania mogłyby zostać zidentyfikowane przez system, to np. grupy wiekowe, czy ludzie z niepełnosprawnościami, czy o określonej orientacji seksualnej, czy poglądach politycznych.
Również zabronione zostają systemy, które mogą być tworzene przez władze publiczne w celu przyznawania tzw. kredytu społecznego (social credit score), który wprowadzany jest od lat w Chińskiej Republice Ludowej. Taka silna reakcja KE na doniesienia z drugiej strony kontynentu na wiadomości o budowaniu Orwellowskiego państwa w ChRL, w formie zakazu podobnych praktyk w Europie, jest ze wszechmiar słuszna.
Nie można stosować też systemów, które w szeroko pojęty sposób są dyskryminujące, zwłaszcza gdy nie uwzględniony zostanie relewantny społeczny kontekst funkcjonowania człowieka w danym miejscu, na który maszyna często jest ślepa. Jednocześnie używanie systemów biometrycznych do rozpoznania tożsamości z dystansu, w celach policyjnych i egzekwowania prawa jest również zabronione, poza wskazanymi wyjątkami.
Procedury zgodności z prawem
Wszelkie inne systemy AI nie objęte zakazanym katalogiem, ale jednocześnie mogące stanowić wysokie ryzyko, będą przedmiotem specjalnej procedury zgodności, do której producenci będą musieli się stosować w czasie fazy rozwoju, a użytkownicy systemów jej przestrzegać już po wprowadzeniu na rynek. Zgodnie z podejściem do regulacji opartym na ryzyku, które można odnaleźć również w GDPR, systemy AI o wysokim ryzyku będą mogły być wprowadzane na rynek europejski, z zastrzeżeniem przejścia procedury zgodności z prawem, która zakłada pewne obowiązki, do których należy się stosować w czasie tworzenia systemu, również w przypadku systemów AI o wysokim ryzyku, które mogą być używane samodzielnie, nie jako część innego produktu.
Regulacja wyznacza szczegółowe zasady w stosunku do procesów rozwojowych systemów AI o wysokim ryzyku, takich jak przetwarzanie danych, zarządzanie danymi, poprawna dokumentacja, transparentność i przejrzystość, nadzór człowieka nad procesami, dokładność i bezpieczeństwo, a także wszechstronna odporność na zagrożenia. Projekt zakłada równe rozłożenia ciężarów procedur zgodności z prawem wzdłóż całego łańcucha produkcji i dostaw (np. importerzy, dystrybutorzy, autoryzowani przedstawiciele). Ponadto, takie systemy, nawet po przejściu procedur zgodności z prawem, będą musiały być zarejestrowane w odpowiedniej bazie danych na poziomie unijnym.
Dodatkowe wymogi transparentności
Pewna kategoria systemów AI o wysokim ryzyku, która dodatkowo może stanowić ryzyko manipulacji, będzie przedmiotem dodatkowych wymogów transparentności. Dodatkowe wymagania związane z nią będą stosowane do systemów, które wchodzą w interakcje z ludźmi, używane są aby wykryć emocje, lub zdeterminować asocjacje z innymi grupami społecznymi, w oparciu o dane biometryczne, i jeżeli wytwarzają one lub manipulują treściami, jak np. w sytuacji tzw. deep fakeów. Kiedy ludzie będą wchodzili w interakcje z takimi systemami, lub ich emocje, czy cechy charakterystyczne będą rozpoznawane w sposób zautomatyzowany, muszą być oni o tym wyraźnie poinformowani. Taki sam obowiązek będzie w sytuacji kiedy treści generowane lub manipulowane przez systemy AI, takie jak zdjęcia, wideo, czy dźwięk, będą wydawały się być treściami autentycznymi, nie wygenerowanymi z pomocą tych systemów.
Nadzór i kontrola
Nowe prawo wyznacza ramy dla funkcjonowania wyspecjalizowanych instytucji, które jako niezależne ciała będą brały udział w określaniu poziomu zgodności i stosowania się do regulacji przez producentów i użytkowników. W przypadku systemów AI, które będą częścią innego produktu, procedury w innych regulacjach horyzontalnych będą stosowane, jednak będąc uznanymi w tym samym czasie za spełniające również wymagania regulacji o AI, jeżeli do tych procedur w innych, odpowiednich regulacjach producenci i użytkownicy będą się odpowiednio stosowali.
Regulacja ma powołać do życia Europejską Radę AI (European Artificial Intelligence Board EAIB), składającą się z przedstawicieli Państw Członkowskich i Komisji Europejskiej, na wzór Europejskiej Rady Ochrony Danych (EDPB). Misja EAIB będzie podobna do tej, którą ma EDPB w dziedzinie ochrony danych osobowych, czyli bycie ciałem doradczym i stanie na straży harmonijnej i spójnej implementacji regulacji w Państwach Członkowskich, a także takiego samego jej stosowania. Na poziomie Państw Członkowskich będzie istniał obowiązek stworzenia, lub delegacji dedykowanej instytucji, do monitorowania stosowania tego nowego prawa. Na poziomie europejskim tą instytucją będzie Europejski Inspektor Ochrony Danych (European Data Protection Supervisor – EDPS), więc analogicznie w Polsce logicznym krokiem byłoby asygnowanie do tego zadania Urzędu Ochrony Danych Osobowych (UODO). Tutaj naturalnie pojawia się kwestia odpowiedniego doboru, przeszkolenia i wynagrodzenia kadr UODO, tak aby zapewnić stosowny nadzór nad wdrożeniem i stosowaniem tej skomplikowanej regulacji. Należy stwierdzić, że w obecnej kondycji, i biorąc pod uwagę obecny niski poziom aktywności UODO, który jest spowodowany m.in. niskimi wynagrodzeniami prawników tam pracujących, instytucja ta raczej intelektualnie i organizacyjnie mogłaby nie podołać wyzwaniu, jakim jest odpowiedni, responsywny i proaktywny nadzór nad wdrażaniem i stosowaniem się do tej nowej regulacji.
Nowa regulacja zakłada również, kopiując rozwiązanie z GDPR, tworzenie kodeksów dobrych praktyk, które mają zachęcać producentów systemów AI o wysokim ryzyku do stosowania się dobrowolnie do standardów wyznaczonych przez nowe prawo.
W opinii KE regulacja została zaprojektowana w taki sposób, aby być jak najmniejszym obciążeniem administracyjnym, zwłaszcza dla sektora małych i średnich przedsiębiorstw, a także dla start upów. Jednym z takich rozwiązań, wspomagające te sektory, ma być zachęcanie Państw Członkowskich UE, żeby organizowały tzw. regulatory sandboxes, czyli bezpieczne środowiska, w których w transparetny sposób będzie można testować systemy AI o wysokim ryzyku, i ich potencjalny wpływ. Skuteczność tych rozwiązań będzie zależała od wdrożenia ich przez Państwa Członkowskie. Jednak tak jak wspominałem w pierwszej cześci artykułu, sam fakt istnienia tak wielu nowych norm prawnych, do których producenci i użytkownicy będą musieli się stosować, może stworzyć samo w sobie barierę, która znacznie utrudni rozwój systemów AI.
System kar – powtórka z GDPR
Mieczem, który będzie wisiał nad producentami i użytkownikami systemów AI o wysokim ryzyku za niestosowanie się do regulacji będą surowe kary administracyjne, które znane są już z reżimu w GDPR. Celem wysokich kar, zgodnie z memorandum opisującym ratio legis tej regulacji, jest efekt odstraszający, i w ten sposób sprawienie, że regulacja będzie przestrzegana. Należy uznać to za rozwiązanie słuszne, biorąc pod uwagę doświadczenie z karami w GDPR. Mimo, że nie jest możliwe aby żaden inspektor danych, lub urząd odpowiedzialny w Państwach członkowskich zbadał dokładnie stosowanie się do GDPR w całej gospodarce, to jednak poprzez selektywne kontrole i nagłaśnianie spraw o wysokim profilu i wpływie społecznym można osiągnąć efekt, gdzie większość podmiotów życia społeczno-gospodarczego teraz stosuje się, albo chociaż stara stosować się do GDPR. Więc mimo ogranicznonych zdolności administracyjno-organizacyjnych nadzorców, sam fakt selektywnego i surowego karania przyczynia się do stosowania się do prawa, co i prawdopodobnie nastąpi w sytuacji systemów AI o wysokim ryzyku, szczególnie biorąc pod uwagę, że jest to rynek mniejszy i łatwiej jest o zwrócenie uwagi na siebie nawet umiarkowanie aktywnego nadzorcy.
Podsumowanie
Jak uczy nas doświadczenie z poprzednimi tak dużymi pakietami regulacyjnymi, zanim Regulacja o Europejskim Podejściu do Sztucznej Inteligencji wejdzie w życie może minąć jeszcze bardzo wiele czasu. Jak zawsze powtarzam w swoich komentarzach, w wyniku wewnątrz unijnej dynamiki instytucjonalnej, a także lobbingu, finalna regulacja może wyglądać zupełnie inaczej niż projekt przedstawiony obecnie przez KE. Analiza tego projektu jest o tyle trudna, że bez bardzo szczegółowej wiedzy na temat architektury i projektowania tych systemów prawnikowi bardzo trudno jest ocenić na ile pewne wprowadzane normy prawne są słuszne i proporcjonalne, a także na ile będą one faktycznie skuteczne w ochronie praw podstawowych, jednocześnie nie niszcząc rozwoju sektora AI w Europie. Można wręcz powiedzieć, że okaże się to dopiero przy jej implementacji i użyciu, więc może być to operacja na żywym organiźmie, gdzie skutki aplikowanego lekarstwa są nie do końca znane.
Jan Czarnocki – doktorant i stypendysta im. Marii Skłodowskiej-Curie w Centrum Prawa Technologii Informacyjnych i Ochrony Własności Intelektualnej Katolickiego Uniwersytetu w Leuven. W swojej pracy bada zagadnienia związane z ochroną prywatności i danych, koncentrując się na ochronie danych biometrycznych i zdrowotnych, w kontekście Internetu Rzeczy i algorytmów Sztucznej Intelignencji. Przed tym pracował jako stażysta w Dyrektoracie Spraw Zagranicznych, w Sekretariacie Europejskiej Partii Ludowej w Parlamencie Europejskim, a także w Centrum Studiów Europejskich im. Wilfrieda Martensa. Uzyskał tytuł magistra prawa na Uniwersytecie Warszawskim i tytuł LL.M prawa porównaczego na Chińskim Uniwersytecie Nauk Politycznych i Prawnych w Pekinie. Oprócz prawa interesuje się geopolityką, ekonomią, filozofią i biznesem w sieci.
Sfinansowano przez Narodowy Instytut Wolności - Centrum Rozwoju Społeczeństwa Obywatelskiego ze środków Programu Rozwoju Organizacji Obywatelskich na lata 2018 – 2030
