Przejrzystość jako warunek zaufania do Sztucznej Inteligencji w projekcie rozporządzenia UE
W opublikowanym 21 kwietnia 2021 r. projekcie rozporządzenia w sprawie europejskiego podejścia do Sztucznej Inteligencji (SI), na 107 stronach Komisja Europejska zaproponowała szereg przepisów, mających na celu przekształcenie Europy w globalne centrum godnej zaufania SI. Propozycja wydaje się być solidnie przemyślana i spójna z unijnym podejściem do tej technologii, zaprezentowanym zarówno w Europejskiej Strategii dotyczącej SI w 2018r., Wytycznych HLEG w sprawie Godnej Zaufania SI z 2019, jak i Białej Księdze SI opublikowanej przez KE w 2020r.
W pierwszej kolejności warto wskazać, że w art. 3 pkt 1. projektu pojawia się neutralna technologicznie definicja SI (systemu SI), zgodnie z którą „system sztucznej inteligencji” oznacza oprogramowanie, które zostało opracowane przy użyciu co najmniej jednej z technik i podejść wymienionych w Załączniku I (Annex I) i może — dla danego zestawu celów zdefiniowanych przez człowieka — generować wyniki, takie jak treść, prognozy, zalecenia, lub decyzje wpływające na środowiska, z którymi wchodzą w interakcje. Moim skromnym zdaniem to jedna z lepszych definicji, z jakimi spotkałam się w ostatnich latach; ma duże szanse na to, by przez wiele lat pozostać aktualną.
Przejrzystość i wyjaśnialność oraz powiązana z nimi rozliczalność są jedynymi z kluczowych wymogów prawnych jakie wprowadzi rozporządzenie. Będą one dotyczyć przede wszystkim SI wysokiego ryzyka. Projekt rozporządzenia proponuje jednak podejście oparte na ryzyku z czterema poziomami ryzyka:
· ryzyko niedopuszczalne: zakaz pewnych zastosowań SI, ze względu na ich sprzeczność z wartościami UE: zdalne systemy rozpoznawania twarzy w czasie rzeczywistym w przestrzeniach publicznie dostępnych do celów egzekwowania prawa (z możliwymi wyjątkami), systemy „social scoringu” oraz systemy wykorzystujące podatność określonych, szczególnie wrażliwych osób, takich jak dzieci lub osoby niepełnosprawne, w celu wpływania na ich zachowanie w sposób, który może wyrządzić im lub innej osobie krzywdę psychiczną lub fizyczną;
· wysokie ryzyko: ograniczona liczba systemów SI, zdefiniowanych w art. 6 ust. 2 projektu i opisanych szczegółowo w Załączniku III (Annex III) , które mają negatywny wpływ na bezpieczeństwo osób fizycznych lub ich prawa podstawowe — do tych SI będzie miała zastosowanie większość obowiązków opisanych w rozporządzeniu (będą to m.in. systemy SI wykorzystywane w ramach infrastruktury krytycznej jak transport, energetyka, w dostępie do edukacji i zatrudnienia, medycynie, wymiarze sprawiedliwości i egzekwowaniu prawa oraz zarządzaniu kontrolą graniczną). Obowiązkiem KE będzie bieżące aktualizowanie Załącznika III;
· ograniczone ryzyko: w przypadku niektórych systemów SI, wchodzących w interakcje z osobami fizycznymi (np. chatboty), służącymi rozpoznawaniu emocji i kategoryzacji biometrycznej lub produkującymi tzw. deep fake. Projekt przewiduje nałożenie szczególnych wymogów dotyczących przejrzystości, na przykład gdy istnieje wyraźne ryzyko manipulacji — użytkownicy zawsze powinni być świadomi, że wchodzą w interakcję z maszyną lub, że prezentowane materiały są „przerobione”;
· minimalne ryzyko: wszystkie inne SI (zdecydowana większość systemów SI stosowanych obecnie w UE) będą mogły być stosowane zgodnie z obowiązującymi przepisami bez dodatkowych obowiązków nakładanych przez rozporządzenie, jednakże dostawcy tych systemów mogą dobrowolnie zdecydować się na stosowanie wymogów dotyczących godnej zaufania SI i kodeksów postępowania.
Wymogi dotyczące SI wysokiego ryzyka można podzielić na cztery główne kategorie:
· wymogi dotyczące jakości wykorzystywanych danych (tu pojawia się nowa podstawa prawna przetwarzania przez dostawców SI danych wrażliwych),
· wymogi dotyczące dokumentacji technicznej i prowadzenia rejestrów (w celu faktycznej realizacji postulatu transparentności i wyjaśnialności SI),
· wymogi dotyczące przejrzystości i dostarczania informacji użytkownikom,
· wymogi w zakresie nadzoru ludzkiego oraz solidności, dokładności i cyberbezpieczeństwa.
Z punktu widzenia przejrzystości bardzo dobrym rozwiązaniem jest opracowanie Aneksu IV, w którym KE zawarła szczegółowy opis tego, co powinna zawierać dokumentacja systemu SI wysokiego ryzyka. Dostęp do jej zawartości pozwoli na urzeczywistnienie postulowanej w niemal każdym dokumencie dotyczącym etycznej SI — jej wyjaśnialności (ang. Explainability). Wyjaśnialność jest szczególnie istotna w kontekście zautomatyzowanego podejmowania decyzji i bardzo cieszy, że jej zapewnienie stanie się wymogiem prawnym o znacznie szerszym znaczeniu niż art. 22 RODO. Propozycja KE zakłada, że przejrzystość działania SI i wyjaśnialność podejmowanych przez nią decyzji będzie dotyczyć nie tylko do decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, ale do wszystkich działań i zastosowań SI wysokiego ryzyka. Budowie zaufania do SI służyć mają także obowiązki w zakresie informowania użytkowników o istotnych cechach systemu, aby mogli oni zinterpretować dane wyjściowe i odpowiednio z niego korzystać.
Projekt rozporządzenia duży nacisk kładzie także na eliminowanie uprzedzeń (ang. bias) w systemach SI wysokiego ryzyka. Będą musiały zostać przeszkolone i przetestowane przy użyciu wystarczająco reprezentatywnych zbiorów danych, aby zminimalizować ryzyko nieuczciwych uprzedzeń wbudowanych w model. Kluczowa będzie tu także rozliczalność: obowiązkiem dostawców będzie zapewnienie przechowywania odpowiedniej dokumentacji, w tym danych wykorzystywanych do szkolenia algorytmu.
Osobny rozdział poświęcony jest m.in. obowiązkom dostawców SI w zakresie systemów zarządzania jakością, dokumentacji technicznej, przejścia przez procedurę oceny zgodności przed wprowadzeniem SI do obrotu lub oddaniem do użytku oraz obowiązków rejestracyjnych (unijna baza danych dotycząca samodzielnych systemów SI wysokiego ryzyka — ang. stand-alone high-risk AI systems).
Ramy prawne opisane w projekcie rozporządzenia będą miały zastosowanie zarówno do podmiotów publicznych, jak i prywatnych w UE i poza nią, o ile system SI zostanie wprowadzony na rynek unijny lub jego stosowanie będzie miało wpływ na osoby znajdujące się w UE. Może to dotyczyć zarówno dostawców (np. twórcy SI do prowadzenia rekrutacji), jak i użytkowników systemów SI wysokiego ryzyka (np. banku kupującego to narzędzie). Regulacja nie będzie dotyczyć prywatnych, nieprofesjonalnych zastosowań. Ważne jest, że odpowiedzialność za spełnienie wymogów dotyczących SI odpowiadać będą nie tylko producenci tych systemów, ale — w określonym zakresie — także importerzy, dystrybutorzy i użytkownicy (w zakresie użytku profesjonalnego). Rozciągać się ona będzie także na powdrożeniowe korzystanie z SI — obowiązkowe będą systemy monitorowania SI po wprowadzeniu do obrotu.
Projekt rozporządzenia nie przewiduje przepisów o odpowiedzialności cywilnej dostawców SI (analogicznie jak np. art. 82 RODO), jednakże na podmioty naruszające zakaz stosowania niedozwolonych praktyk związanych z SI lub zasad zarządzania danymi mogą być nakładane pieniężne kary administracyjne w wysokości do 30 000 000 EUR lub w przypadku przedsiębiorstw w wysokości do 6% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Nieprzestrzeganie pozostałych przepisów rozporządzenia będzie zagrożone administracyjną karą pieniężną w wysokości do 20 000 000 EUR lub w przypadku przedsiębiorstw w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa).
Wraz z projektem rozporządzenia dotyczącego SI Komisja opublikowała projekt nowego rozporządzenia w sprawie maszyn. Produkty maszynowe obejmują szeroką gamę produktów konsumenckich i profesjonalnych, od robotów (roboty czyszczące, roboty do higieny osobistej, roboty współpracujące, roboty przemysłowe) po kosiarki, drukarki 3D, maszyny budowlane i przemysłowe linie produkcyjne. Oba te akty zapewnić mają kompleksową regulację zastosowań SI i będą się wzajemnie uzupełniać.
Cieszy zapowiedź stworzenia piaskownic regulacyjnych, które zapewnią europejskim przedsiębiorcom kontrolowane środowiska eksperymentalne i testowe dla SI na etapie rozwoju i fazy poprzedzającej wprowadzenie do obrotu.
Parlament Europejski i państwa członkowskie będą musiały przyjąć wnioski Komisji dotyczące europejskiego podejścia do sztucznej inteligencji i produktów maszynowych w ramach zwykłej procedury ustawodawczej. Po przyjęciu rozporządzenia końcowe będą bezpośrednio stosowane w całej UE.
