Przełom
Prawnicy zgodnie twierdzą, że publikacja przez Komisję Europejską propozycji przepisów dla sztucznej inteligencji to ważny i przełomowy krok. Jak komentuje dr Gabriela Bar, to pierwszy na świecie tak kompleksowy akt prawny dotyczący tej technologii. Xawery Konarski podkreśla, że nigdzie indziej nie zaproponowano tak szerokiej regulacji obowiązków związanych z wykorzystaniem systemów sztucznej inteligencji.
Natomiast według Tomasza Zalewskiego powstanie projektu rozporządzenia uporządkuje dalsze rozmowy o regulacjach SI. – Obecnie tocząca się dyskusja nad sztuczną inteligencją stała się tak wielowątkowa, a jednocześnie nieskoordynowana, że coraz trudniej było zarówno przedsiębiorcom jak i zwykłym obywatelom odnieść się do poruszanych w niej zagadnień i wątków. Pojawienie się projektu rozporządzenia oznacza, że od tej pory dyskusja ta będzie skoncentrowana na konkretnych problemach i sposobach ich rozwiązania – komentuje partner Bird & Bird.
Grupy ryzyka
Odnosząc się do istoty proponowanych przepisów, prawnicy zwracają przede wszystkim uwagę na przyjęcie podejścia opartego na ryzyku, jakie tworzą systemy SI i uzależnienia od stopnia tego ryzyka poziomu ich regulacji. Jak zaznacza Tomasz Koryzma, taki mechanizm znany jest już z przepisów i praktyki stosowania RODO.
Zgodnie z projektowanymi przepisami, systemy podzielono na takie, które stwarzają niedopuszczalne ryzyko, wysokie ryzyko oraz niskie lub minimalne ryzyko.
– Systemy SI o minimalnym ryzyku nie będą objęte planowaną regulacją i będą mogły być rozwijane i wykorzystywane bez ograniczeń. Obejmują one większość wykorzystywanych obecnie rozwiązań sztucznej inteligencji, np. filtry antyspamowe, konwersja mowy na tekst czy automatyczne tłumaczenia tekstów – wyjaśnia Tomasz Zalewski.
– Komisja – zgodnie z wcześniejszymi zapowiedziami i podejściem zaprezentowanym m.in. w Białej Księdze SI z 2020 roku – zdecydowała się na wprowadzenie rygorystycznych wymogów i obowiązkowej oceny zgodności wyłącznie dla systemów SI zakwalifikowanych jako stwarzających wysokie ryzyko – zaznacza Gabriela Bar. Jak dodaje, do takich należą m.in. systemy wykorzystywane w ramach infrastruktury krytycznej (np. transport, energetyka), w dostępie do edukacji i zatrudnienia, medycynie, wymiarze sprawiedliwości i egzekwowaniu prawa oraz zarządzaniu kontrolą graniczną.
Według Adriany Zdanowicz-Lesniak, jeśli chodzi o zakres obowiązków nałożonych na podmioty wykorzystujące systemy SI wysokiego ryzyka, nowa regulacja idzie nawet o krok dalej niż RODO z obowiązkami wobec administratorów danych. – Projekt wymaga od tej grupy podmiotów m.in. zarządzania danymi i ryzykiem, szczegółowej dokumentacji technicznej dla celów rozliczalności, rozbudowanych obowiązków informacyjnych wobec użytkowników, a także kontroli bezpieczeństwa systemu obejmującej cały cykl jego funkcjonowania – komentuje prawniczka CMS.
Piotr Kaniewski ocenia, że cały podział systemów sztucznej inteligencji na te mniejszego i większego ryzyka jest dobrym rozwiązaniem. – Jeśli ktoś używa mniej zaawansowanego czy intruzywnego systemu, to nie ma powodów, by obciążać go wysokimi kosztami wynikającymi z dostosowania systemu do wymagań rozporządzenia – dodaje.
Jak podkreśla dr.Gabriela Bar, a także Tomasz Zalewski, niezależnie od kwalifikacji do grupy ryzyka, systemy SI przeznaczone do interakcji z ludźmi będą podlegać wymogom przejrzystości, tak, by użytkownik wiedział że wchodzi w interakcję z SI a nie z człowiekiem. Przykładem takich systemów są np. chatboty.
Systemy zakazane
Pojekt rozporządzenia przewiduje również, że stosowanie części systemów SI jest niedopuszczalnie. Chodzi o systemy zagrażające bezpieczeństwu i prawom człowieka. To między innymi systemy rozpoznawania twarzy, dlaeko idące monitorowanie ludzi, czy social scoring. – Przepisy odbierają aparatom państwowym czy wielkim korporacjom możliwość używania SI w sposób rodem z dzieł Orwella czy Huxleya – komentuje Piotr Kaniewski.
Odpowiedzialność nie tyko producentów
Prawnicy zwracają również uwagę, ze przepisy rozporządzenia znajdą zastosowanie nie tylko wobec producentów systemów SI. – Mają nimi zostać również objęci dostawcy i użytkownicy systemów sztucznej inteligencji z krajów trzecich, gdy wynik (output) działania systemu będzie wykorzystywany w UE – zaznacza Xawery Konarski. – Odpowiedzialność rozciągać się będzie także na powdrożeniowe korzystanie z SI – obowiązkowe będą systemy monitorowania systemu po wprowadzeniu do obrotu – dodaje Gabriela Bar.
Dane SI
Xawery Konarski zaznacza także, że projekt rozporządzenia kładzie nacisk na sposób zarządzania danymi wykorzystywanymi na potrzeby SI. – Rozporządzenie ma wymagać, aby dostawcy stosowali szereg technik w odniesieniu do zbiorów danych, które są wykorzystywane do szkolenia, testowania uczenia maszynowego i podobnych technologii – komentuje senior partner TKP.
Natomiast Piotr Kaniewski podkreśla, że w rozporządzeniu jest mowa o recordkeepingu, czyli zapisywaniu historii działań systemów sztucznej inteligencji. – Według mnie, każdy system SI służący do podejmowania jakichkolwiek decyzji powinien mieć “czarną skrzynkę” zbierającą informacje pozwalające ocenić ich słuszność. Wiem z rozmów z programistami machine learning, że nawet najlepsi z nich potrzebują dużo czasu na dojście, dlaczego system podjął konkretną decyzję. Oczekiwałbym nawet bardziej konkretnych regulacji w tym zakresie, niż proponuje to rozporządzenie w obecnym kształcie – dodaje prawnik Kochański & Partners.
Wysokie kary
Prawnicy zgodnie także podkreślają, że projektowane kary za nieprzestrzeganie przepisów rozporządzania są surowe.
Jak analizuje Xawery Konarski, na podmioty naruszające zakaz stosowania niedozwolonych praktyk związanych ze sztuczną inteligencją (art. 5 projektu rozporządzenia) lub zasad zarządzania danymi (art. 10 projektu rozporządzenia) mogą być nakładane pieniężne kary administracyjne w wysokości do 30 000 000 euro lub w przypadku przedsiębiorstw w wysokości do 6% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Nieprzestrzeganie pozostałych przepisów rozporządzenia jest zagrożone administracyjną karą pieniężną w wysokości do 20 000 000 euro lub w przypadku przedsiębiorstw w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa
Czas na strategię dla biznesu
– Chociaż opublikowane dokumenty są dopiero początkiem procesu legislacyjnego i mogą jeszcze ulec zmianie, to jednak moim zdaniem już teraz producenci i użytkownicy systemów SI powinni zacząć traktować je jako zarys przyszłych wytycznych, które mogą mieć do nich zastosowanie – podsumowuje Tomasz Zalewski.
Adrianna Zdanowicz-Leśniak ocenia, że zaproponowane przepisy to idące w pożądanym kierunku zmiany, ale przynoszące także liczne obowiązki dla dostawców, importerów, dystrybutorów a także użytkowników systemów SI, co dotyczy zarówno przedsiębiorstw z siedzibą w UE jak i – w określonych przypadkach – poza jej granicam. – Wskazane podmioty powinny już dziś rozważyć strategię wdrożenia projektowanego rozporządzenia, tym bardziej że przewiduje ono wysokie kary administracyjne – zaznacza prawniczka CMS.
Tomasz Koryzma ocenia, że dalsze prace nad unijnym pakietem regulacyjnym sztucznej inteligencji, w tym projektem omawianego rozporządzenia oraz towarzyszącym mu rozporządzeniem w sprawie produktów przemysłu maszynowego, zajmą co najmniej 18 miesięcy. – Dla przedsiębiorstw jest to odpowiedni okres na ocenę, czy wykorzystywane w ramach ich biznesu technologie kwalifikują się jako „systemy SI” w świetle nowej, neutralnej technologicznie definicji projektu, a w przypadku odpowiedzi twierdzącej analizę związanego z tym ryzyka i przygotowanie do wdrożenia omawianej regulacji. – podkreśla partner CMS.
– Mam wrażenie, że Unia przychodzi z przysłowiowym kijem, ale nie daje marchewki – tak natomiast cały projekt rozporządzenia podsumowuje Piotr Kaniewski. – Z jednej strony bowiem dobrze, że w Unii myśli się o prywatności i bezpieczeństwie obywateli, etyce i chronieniu praw obywatelskich, te rozwiązania jednak będą drogie do zaimplementowania. To utrudni europejskim producentom rozwiązań AI konkurowanie z dostawcami z krajów anglosaskich czy Azji. Mam wrażenie, że brakuje pozytywnych bodźców dla biznesu. Na przykład z zakresu prawa własności intelektualnej, czyli zagwarantowania ochrony praw własnościowych do samych modeli AI, jak i rezultatów ich pracy (które, w mojej opinii, mogą nie mieścić się w zakresie ochrony prawa autorskiego). Mam świadomość, że prawo autorskie harmonizuje się trudno, bo istotnie różni się w poszczególnych krajach Wspólnoty, ale gdyby Unia dała pozytywny impuls do lepszego chronienia pracy systemów AI i ich samych, to oferowałaby dużo większą pewność obrotu. Warto zauważyć, jak niewiele firm (zwłaszcza w Polsce) realnie wykorzystuje sztuczną inteligencję. Wpływa to negatywnie na naszą konkurencyjność. Widzę zatem konieczność generowania bodźców zachęcających do odważniejszego korzystania z AI – ocenia Piotr Kaniewski.
