Sztuczna inteligencja (ang. Artificial Intelligence, AI) odgrywa w naszym życiu coraz większą rolę i tendencja ta będzie się tylko nasilać. Od jej algorytmów bowiem w coraz większym stopniu będzie zależeć to czy dostaniemy pracę, awans, kredyt lub ubezpieczenie, a także jaki serial zechcemy obejrzeć. Od dawna wskazuje się, że sztuczna inteligencja będzie mieć przemożny wpływ na światową gospodarkę i dlatego postrzega się ją jako „trzecią rewolucję przemysłową”. Jak każde rewolucyjne rozwiązanie AI niesie ze sobą zarówno korzyści, jak i zagrożenia, nic więc dziwnego, że Unia Europejska w drodze stosownych przepisów zamierza poddać kontroli wdrażanie nowych rozwiązań. Pierwszym krokiem na tej drodze było przyjęcie Ogólnego roporządzenia o ochronie danych (RODO), które daje osobie fizycznej tzw. prawo do interwencji ludzkiej w wypadku gdy algorytmy decydują o sytuacji prawnej tej osoby. Obecnie, wewnątrz Komisji Europejskiej procedowany jest wniosek o wydanie rozporządzenia ustanawiającego zharmonizowane przepisy dotyczące sztucznej inteligencji (zwanego dalej „Rozporządzeniem”). Jak wskazano w projekcie Rozporządzenia „Sztuczna inteligencja (AI) to szybko rozwijająca się grupa technologii, które mogą przynosić wiele różnych korzyści społeczno-ekonomicznych we wszystkich branżach i obszarach działalności społecznej. Rozwiązania bazujące na sztucznej inteligencji umożliwiają lepsze prognozowanie, optymalizację operacji i przydzielania zasobów oraz personalizację świadczonych usług, dzięki czemu osiągane wyniki są korzystne z punktu widzenia kwestii społecznych i ochrony środowiska, a przedsiębiorstwa i europejska gospodarka zyskują kluczową przewagę konkurencyjną”.
Procedowane Rozporządzenie byłoby już kolejnym aktem prawnym dotyczącym sztucznej inteligencji wydanym na szczeblu unijnym. Wcześniej, bo w 2020 roku, przyjęto rezolucję z zaleceniami dla Komisji w sprawie systemu odpowiedzialności cywilnej za sztuczną inteligencję (2020/2014(INL). Rozporządzenie ma dotyczyć systemów opartych na AI w kontekście bezpieczeństwa ich używania, a także ryzyka dla praw i wolności, które te systemy generują.
Rozporządzenie nadal jest procedowane, co zapewne potrwa następnych kilkanaście miesięcy. Podczas prac treść Rozporządzenia najprawdopodobniej zmieni swoje brzmienie, natomiast jego cel, a także podstawowe pojęcia związane z oceną ryzyka pozostaną bez większych zmian.
Zakres zastosowania Rozporządzenia
Zgodnie z art. 1 ust. 1 Rozporządzenia ma ono zastosowanie do:
dostawców wprowadzających do obrotu lub oddających do użytku systemy sztucznej inteligencji w Unii Europejskiej, niezależnie od tego, czy dostawcy ci mają siedzibę w Unii Europejskiej czy w państwie trzecim;
użytkowników systemów sztucznej inteligencji, którzy znajdują się w Unii Europejskiej;
dostawców i użytkowników systemów sztucznej inteligencji, którzy znajdują się w państwie trzecim, jeżeli wyniki działania systemu są wykorzystywane w Unii Europejskiej.
Rozporządzenia nie stosuje się do systemów sztucznej inteligencji opracowywanych lub wykorzystywanych wyłącznie dla celów wojskowych, a także do organów publicznych w państwie trzecim ani do organizacji międzynarodowych objętych zakresem stosowania Rozporządzenia zgodnie z art. 1 ust. 1 Rozporządzenia, jeżeli te organy lub organizacje wykorzystują systemy sztucznej inteligencji w ramach umów międzynarodowych w sprawie egzekwowania prawa i współpracy sądowej zawartych z Unią lub z jednym państwem członkowskim bądź ich większą liczbą.
Dostawcą w rozumieniu Rozporządzenia nie jest jedynie podmiot, który opracował system AI, ale również podmiot, który takie opracowanie zlecił w celu wprowadzenia go do obrotu lub oddania go do użytku pod własną nazwą handlową lub własnym znakiem towarowym – odpłatnie lub nieodpłatnie. To dostawca, jak wynika z motywu 53 Rozporządzenia, będzie stał na „pierwszym froncie odpowiedzialności” za działanie systemu.
Użytkownikiem natomiast jest podmiot, który korzysta z systemu AI pod swoją kontrolą z wyjątkiem gdy system jest wykorzystywany w ramach osobistej działalności pozazawodowej, czyli przez podmiot będący „konsumentem”.
Czym jest sztuczna inteligencja wg Rozporządzenia?
Rozporządzenie, definiując sztuczną inteligencję, punkt ciężkości położyło na jej aspekty funkcjonalne. Jest to zatem oprogramowanie, posiadające zdolność, przy danym zestawie celów określonych przez człowieka, „do generowania wyników takich jak treści, prognozy, zalecenia lub decyzje wpływające na środowisko, z którym system wchodzi w interakcję, czy to w wymiarze fizycznym, czy cyfrowym”. System sztucznej inteligencji nie musi być samodzielnym tworem, a częścią większego systemu, jako jego element, fizycznie zintegrowany z tym systemem, albo z nim niezintegrowany.
Co istotne, sztuczna inteligencja osiąga wskazane wyżej rezultaty na skutek trenowania jej w określony w załączniku nr 1 do Rozporządzenia sposób. I tak w załączniku wskazuje się na m.in. uczenie maszynowe, uczenie eksperckie, estymacje Bayesa czy podejście statystyczne.
Sztuczna inteligencja nie jest zatem sztuczną inteligencją w jej mocnym, czy silnym znaczeniu, tj. tym co znamy z fantastyki naukowej (AI sensu stricto), a jedynie bardzo rozbudowanym algorytmem (AI sensu largo), nieobdarzonym inteligencją.
Podejście oparte na ryzyku
Na gruncie omawianego Rozporządzenia pojęciem kluczowym jest ryzyko, które pada w treści Rozporządzenia kilkaset razy w różnych konfiguracjach. W kontekście tego pojęcia nasuwają się pewne analogie z RODO, które zakłada podejście oparte na ryzyku. Rozporządzenie wprowadza cztery kategorie ryzyka:
ryzyko zakazane;
ryzyko wysokie;
ryzyko niewielkie;
ryzyko minimalne.
Każde ryzyko niesie za sobą konieczność zastosowania innego podejścia dostawców i użytkowników do systemu AI, co jest zresztą absolutnie zrozumiałe, bo inaczej będziemy podchodzić do systemu, którego działanie może wywrzeć znaczne skutki w naszej codziennej aktywności (np. nie dostaniemy kredytu), a inaczej gdy te skutki będą znikome albo nie będzie ich wcale (np. korzystanie z tłumacza Google).
Ryzyko zakazane
Ryzyko zakazane generuje takie wykorzystanie sztucznej inteligencji, którego z góry zabrania Rozporządzenie. Rozporządzenie wyróżnia w tym zakresie następujące sytuacje:
wprowadzanie do obrotu, oddawanie do użytku systemu AI, który działając podprogowo zniekształca zachowanie danej osoby, powodując u niej wystąpienie szkody fizycznej lub psychicznej (wg polskiego prawa cywilnego „krzywdy”);
wprowadzanie do obrotu, oddawanie do użytku systemu AI, który wykorzystując słabość określonej grupy osób ze względu na wiek czy stan psychiczny osób do niej należących zniekształca zachowanie członka tej grupy powodując u tej osoby lub u innej osoby szkodę fizyczną lub psychiczną;
wprowadzanie do obrotu, oddawanie do użytku systemu AI, który pozwala organom publicznym na implementację tzw. social scoringu (rozwiązanie znane i stosowane w Chinach pod nazwą 社会信用体系 – System zaufania społecznego, które w praktyce ukazane zostało również w jednym z odcinku popularnego serialu Black Mirror, gdzie poprzez łańcuch zdarzeń w przeciągu krótkiego czasu osoba społecznie poważana została zdegradowana do pozycji wyrzutka);
wykorzystywanie systemów zdalnej identyfikacji biometrycznej w czasie rzeczywistym w przestrzeni publicznej w celu egzekwowania prawa, chyba że jest to niezbędne do poszukiwania zaginionych osób, po to by zapobiec konkretnemu, poważnemu zagrożeniu życia osób fizycznych lub gdy poszukuje się sprawcy określonych przestępstw, np. handlu ludźmi czy terroryzmu.
Ryzyko wysokie
Co do ryzyka wysokiego, tytułem przykładu Rozporządzenie jako system AI wysokiego ryzyka kwalifikuje system, który:
jest wykorzystywany w zarządzaniu krytyczną infrastrukturą, np. zarządzaniem ruchem ulicznym, dostawą wody, gazu, ciepła czy elektryczności;
bierze udział w obszarze zatrudnienia, zarządzania pracownikami i dostępu do samozatrudnienia, w szczególności do rekrutacji i wyboru kandydatów, do podejmowania decyzji o awansie i rozwiązaniu stosunku pracy oraz do przydzielania zadań, monitorowania lub oceny osób pozostających w umownych stosunkach pracy;
bierze udział w ustalaniu dostępu do niektórych podstawowych usług i świadczeń prywatnych i publicznych niezbędnych ludziom do pełnego uczestnictwa w życiu społecznym lub do poprawy poziomu życia oraz korzystanie z tych usług i świadczeń. W tym punkcie będzie się mieścił np. system oceniający zdolność kredytową osoby fizycznej;
jest przeznaczony przez organy ścigania do przeprowadzenia indywidualnej oceny ryzyka, jako poligrafy i podobne narzędzia lub do wykrywania stanu emocjonalnego osoby fizycznej, do wykrywania treści typu „deepfake”, do oceny wiarygodności dowodów w postępowaniu karnym, do przewidywania wystąpienia lub ponownego wystąpienia faktycznego lub potencjalnego przestępstwa na podstawie profilowania osób fizycznych lub oceny cech osobowości i charakterystyki lub wcześniejszego zachowania przestępnego osób fizycznych lub grup, do profilowania w trakcie wykrywania przestępstw, prowadzenia postępowań przygotowawczych w ich sprawie lub ich ścigania, jak również do analizy przestępczości osób fizycznych.
Ryzyko niewielkie
Ryzyko niewielkie dotyczy systemów pozwalających na interakcję między systemem a człowiekiem. Rozwiązaniem, które należy tu wdrożyć jest to, aby człowiek miał świadomość, że wszedł w interakcję z systemem AI. Przykładem będzie obsługa klienta przez systemy sklepów internetowych lub dostawców usług teleinformatycznych czy bankowych.
Ryzyko minimalne
W najlżejszej z punktu widzenia ryzyka kategorii znajdą się z kolei systemy praktycznie nie generujące ryzyka, np. wcześniej wspomniany tłumacz Google.
W celu kontroli prawidłowości oceny co do kwalifikacji systemu do konkretnego poziomu ryzyka, Rozporządzenie wymaga prowadzenia rejestrów zdarzeń oraz zapewnienia dostępności dokumentacji technicznej zawierającej informacje niezbędne do oceny zgodności systemu sztucznej inteligencji z odpowiednimi wymogami. Informacje takie powinny obejmować ogólne właściwości, możliwości i ograniczenia systemu, algorytmy, dane, procesy związane z trenowaniem, testowaniem i walidacją, a także dokumentację dotyczącą odpowiedniego systemu zarządzania ryzykiem. Co oczywiste, dokumentacja techniczna powinna podlegać aktualizacji. Ponadto, co może być trudne do wykonania w praktyce, system AI wysokiego ryzyka powinien być możliwie przejrzysty po to, by osoba fizyczna będąca laikiem mogła zinterpretować wyniki jego działania.
Dane biometryczne
Istotną rolę w Rozporządzeniu odgrywają dane biometryczne i przetwarzanie ich przez systemy sztucznej inteligencji. Dane biometrycznie interpretuje się zgodnie z prawem UE (zwłaszcza z RODO), a więc są to dane osobowe będące wynikiem specjalnego przetwarzania technicznego, które dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.
Obok danych biometrycznych Rozporządzenie wprowadza dodatkowe pojęcia związane z przetwarzaniem takich danych, tj. „system kategoryzacji biometrycznej”, „system zdalnej identyfikacji biometrycznej”, „system zdalnej identyfikacji biometrycznej w czasie rzeczywistym” oraz „system zdalnej identyfikacji biometrycznej post factum”. Nie ma potrzeby przytaczania wszystkich definicji, wystarczy powiedzieć, że wiążą się one z przetwarzaniem danych biometrycznych określonej osoby oraz porównywaniem ich z danymi zawartymi w referencyjnej bazie danych (w czasie rzeczywistym albo w innym, późniejszym czasie).
Systemy obsługujące dane biometryczne są zaliczane do systemów wysokiego ryzyka.
Biorąc pod uwagę warunki korzystania z biometrycznej identyfikacji dokonywanej w miejscach publicznych, a także charakter wyjątków od generalnego zakazu takiej identyfikacji stwierdzić trzeba, że organy publiczne będą mogły uzasadnić biometryczną identyfikację w większości przypadków. Wszak pod kategorią ”zagrożenia życia” możemy rozumieć mnogość potencjalnych stanów faktycznych. Warto dodać, że osoby fizyczne należy informować kiedy mają do czynienia z systemem rozpoznawania emocji lub system kategoryzacji biometrycznej. Interesujące jest to w jaki sposób zostanie to zaimplementowane w przypadku używania monitoringu, umożliwiającego identyfikację biometryczną w centrum dużego miasta.
Inne uregulowania
Rozporządzenie zawiera również przepisy o charakterze techniczno-administracyjnym. Przykładowo:
w Rozporządzeniu zawarta jest potrzeba zachęcania co najmniej jednego państwa członkowskiego UE do utworzenia tzw. piaskownic regulacyjnych po to, aby ułatwić rozwijanie i testowanie innowacyjnych systemów sztucznej inteligencji pod ścisłym nadzorem regulacyjnym przed ich wprowadzeniem do obrotu lub oddaniem do użytku w inny sposób. Piaskownice regulacyjne powinny mieć na celu w szczególności wspieranie innowacji w zakresie sztucznej inteligencji poprzez ustanowienie kontrolowanego środowiska do eksperymentów i testów na etapie rozwoju i przed wprowadzeniem do obrotu, a także zwiększenie pewności prawa dla innowatorów, a także usprawnienie nadzoru ze strony właściwych organów oraz podnoszenie poziomu ich wiedzy na temat możliwości, pojawiających się rodzajów ryzyka oraz skutków związanych z wykorzystywaniem sztucznej inteligencji, a także przyspieszenie dostępu do rynków, w tym poprzez usuwanie barier dla małych i średnich przedsiębiorstw (MŚP) i przedsiębiorstw typu start-up;
aby ułatwić sprawne i skuteczne zarządzanie Rozporządzeniem, utworzona zostanie Europejska Rada ds. Sztucznej Inteligencji;
dostawcy systemów sztucznej inteligencji wysokiego ryzyka są zobowiązani wprowadzić system zarządzania jakością, który zapewni zgodność z Rozporządzeniem. System ten dokumentuje się w systematyczny i uporządkowany sposób w formie pisemnych polityk, procedur i instrukcji oraz ma obejmować kilkanaście obszarów, w tym m.in. strategię zgodności regulacyjnej, w tym zgodności z procedurami oceny zgodności i procedurami zarządzania zmianami w systemie sztucznej inteligencji wysokiego ryzyka;
wprowadzono szczegółowe obowiązki dystrybutorów oraz importerów systemów AI;
samodzielne systemy AI będą podlegać wpisowi do specjalnej unijnej bazy danych.
Podsumowanie
Projekt Rozporządzenia należy postrzegać pozytywnie. Poprawnie została oceniona potrzeba regulacji działania systemów sztucznej inteligencji, bo nawet zwykłe osoby fizyczne mają z nią do czynienia na każdym kroku i w coraz szerszym zakresie (od banków, przez inteligencje domy, aż do najeżonych elektroniką samochodów). To co jest szansą i wygodą z jednej strony, stanowi zagrożenie naszej prywatności i wolności z drugiej. Takie regulacje na szczeblu ponadnarodowym są więc konieczne, by utrzymać balans. Gdy projektowane przepisy staną się prawem obowiązującym zajdzie potrzeba ich wdrożenia przez podmioty korzystające z rozwiązań AI, co w szczególności będzie dotyczyć niemal każdego software house’u. Tendencje prawodawcze w Unii Europejskiej wyraźnie wzmacniają rolę compliance na rynku usług prawnych z których przedsiębiorcy będą zmuszeni coraz częściej korzystać.
Wpisy powiązane:
Ochrona informacji poufnych w IT
Obsługa prawna w IT - podstawowe zadania
Data publikacji: 14.09.2021.