(CON/2021/40)(2022/C 115/05)
(Dz.U.UE C z dnia 11 marca 2022 r.)
Wprowadzenie i podstawa prawna
W dniu 3 listopada 2021 r. Europejski Bank Centralny (EBC) otrzymał wniosek Rady Unii Europejskiej o wydanie opinii w sprawie wniosku 1 dotyczącego rozporządzenia Parlamentu Europejskiego i Rady ustanawiającego zharmonizowane przepisy dotyczące sztucznej inteligencji (aktu w sprawie sztucznej inteligencji) i zmieniającego niektóre akty ustawodawcze Unii (zwanego dalej "proponowanym rozporządzeniem").
Właściwość EBC do wydania opinii wynika z art. 127 ust. 4 oraz art. 282 ust. 5 Traktatu o funkcjonowaniu Unii Europejskiej z uwagi na fakt, że proponowane rozporządzenie zawiera postanowienia leżące w zakresie kompetencji EBC, w szczególności w odniesieniu do zadań EBC dotyczących nadzoru ostrożnościowego nad instytucjami kredytowymi zgodnie z art. 127 ust. 6 Traktatu. Rada Prezesów wydała niniejszą opinię zgodnie ze zdaniem pierwszym art. 17 ust. 5 Regulaminu Europejskiego Banku Centralnego.
1. Uwagi ogólne
1.1. EBC z zadowoleniem przyjmuje cel proponowanego rozporządzenia, jakim jest poprawa funkcjonowania rynku wewnętrznego poprzez ustanowienie jednolitych ram prawnych w zakresie opracowywania, wprowadzania do obrotu i wykorzystywania godnej zaufania sztucznej inteligencji zgodnie z wartościami Unii. EBC dostrzega znaczenie ustanowienia zharmonizowanych wymogów właściwych dla systemów sztucznej inteligencji w celu zapewnienia wysokiego poziomu spójnej ochrony nadrzędnego interesu publicznego przejawiającego się w takich dziedzinach jak zdrowie, bezpieczeństwo i prawa podstawowe.
1.2. EBC dostrzega ponadto rosnące znaczenie innowacji opartych na sztucznej inteligencji w sektorze bankowym. Biorąc pod uwagę nieodłączny transgraniczny charakter działalności bankowej i możliwości rozwoju w jej ramach innowacji w zakresie sztucznej inteligencji, EBC, jako unijny organ nadzoru ostrożnościowego, zdecydowanie popiera potrzebę zharmonizowanego wdrożenia proponowanego rozporządzenia przez instytucje kredytowe w odniesieniu do ryzyka ostrożnościowego i wymogów ostrożnościowych. Biorąc pod uwagę rosnące znaczenie sztucznej inteligencji, sugeruje się także, aby prawodawca unijny rozważył w przyszłości możliwość ustanowienia na poziomie Unii niezależnego organu ds. sztucznej inteligencji odpowiedzialnego za zharmonizowane stosowanie proponowanego rozporządzenia na całym obszarze jednolitego rynku w zakresie kwestii dotyczących zdrowia, bezpieczeństwa i praw podstawowych.
1.3. Jeżeli chodzi o systemy sztucznej inteligencji wysokiego ryzyka zapewniane lub wykorzystywane przez instytucje kredytowe, EBC rozumie, że proponowane rozporządzenie włącza pewne obowiązki do procedur określonych w dyrektywie Parlamentu Europejskiego i Rady 2013/36/UE 2 (zwanej dalej "dyrektywą CRD"). W szczególności proponowane rozporządzenie ma na celu zwiększenie spójności z dyrektywą CRD poprzez włączenie niektórych obowiązków dostawców i użytkowników w zakresie zarządzania ryzykiem i zarządzania wewnętrznego do systemu zarządzania wewnętrznego instytucji kredytowych 3 . Ze względu na nowatorski i złożony charakter sztucznej inteligencji oraz wysokie standardy proponowanego rozporządzenia konieczne są dalsze wytyczne w celu doprecyzowania oczekiwań nadzorczych w odniesieniu do obowiązków związanych z zarządzaniem wewnętrznym.
1.4. EBC z zadowoleniem przyjmuje fakt, że proponowane rozporządzenie ma na celu uniknięcie nakładania się jego przepisów na istniejące ramy prawne poprzez włączenie niektórych jego postanowień do odpowiednich postanowień dyrektywy CRD 4 . W związku z tym EBC z zadowoleniem przyjmuje fakt, że obowiązek dostawców systemów sztucznej inteligencji wysokiego ryzyka będących instytucjami kredytowymi do wprowadzenia systemu zarządzania jakością oraz obowiązek użytkowników takich systemów sztucznej inteligencji będących instytucjami kredytowymi do monitorowania działania systemu uznaje się za spełnione w przypadku zapewnienia zgodności z przepisami dotyczącymi zasad, procedur i mechanizmów zarządzania wewnętrznego ustanowionymi w odpowiednich postanowieniach dyrektywy CRD 5 .
1.5. EBC podkreśla, że proponowane rozporządzenie powinno stać w sprzeczności z bardziej szczegółowymi lub rygorystycznymi obowiązkami ostrożnościowymi instytucji kredytowych określonymi w rozporządzeniu sektorowym i uzupełnionymi przewodnikami nadzorczymi. Przykładowo obowiązki w zakresie zarządzania wewnętrznego użytkowników systemów sztucznej inteligencji będących instytucjami kredytowymi na mocy dyrektywy CRD 6 obejmują skuteczną kontrolę umów outsourcingu, w tym identyfikację, ocenę i ograniczanie wszelkich powiązanych rodzajów ryzyka, zgodnie z wytycznymi EUNB w sprawie outsourcingu 7 . Chociaż proponowane rozporządzenie nakłada różne obowiązki na dostawców i użytkowników systemów sztucznej inteligencji wysokiego ryzyka, wytyczne EUNB w sprawie outsourcingu nie wprowadzają takiego rozróżnienia w kontekście outsourcingu między zewnętrznymi dostawcami rozwiązań technologicznych a instytucjami kredytowymi. W tym względzie outsourcing nie czyni mniej restrykcyjnym obowiązku instytucji kredytowych w zakresie przestrzegania wymogów regulacyjnych, a organ nadzoru ostrożnościowego pozostaje właściwy do nadzorowania ryzyka ostrożnościowego stwarzanego przez funkcje zlecane na zasadzie outsourcingu. W tym kontekście EBC z zadowoleniem przyjąłby dalsze wyjaśnienia dotyczące mających zastosowanie wymogów i właściwych organów w odniesieniu do outsourcingu przez użytkowników systemów sztucznej inteligencji wysokiego ryzyka będących instytucjami kredytowymi.
1.6. Należy doprecyzować rolę EBC wynikającą z proponowanego rozporządzenia, w szczególności w odniesieniu do:
1) kompetencji EBC w zakresie nadzoru ostrożnościowego w ogólności oraz w odniesieniu do nadzoru rynku i oceny zgodności; oraz
2) zastosowania proponowanego rozporządzenia do wykonywania zadań EBC wynikających z Traktatu.
1.7. EBC podtrzymuje swoje poparcie dla neutralnego pod względem technologicznym podejścia do nadzoru ostrożnościowego nad instytucjami kredytowymi. Jego zadaniem jest zapewnienie bezpieczeństwa i dobrej kondycji instytucji kredytowych przy zachowaniu wysokich standardów nadzoru ostrożnościowego, niezależnie od zastosowania konkretnego rozwiązania technologicznego. EBC dąży do utrzymania równych warunków działania w kontekście nadzoru ostrożnościowego nad instytucjami kredytowymi, kierując się zasadą przewodnią "taka sama działalność, takie samo ryzyko, taki sam nadzór" 8 .
2. Rola EBC na gruncie proponowanego rozporządzenia
2.1. Wyjaśnienie kompetencji EBC w zakresie nadzoru ostrożnościowego w odniesieniu do nadzoru rynku
2.1.1. Proponowane rozporządzenie stanowi, że rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/1020 9 ma zastosowanie do systemów sztucznej inteligencji objętych proponowanym rozporządzeniem 10 oraz że wszelkie odniesienia do produktu w rozporządzeniu (UE) 2019/1020 należy rozumieć jako obejmujące wszystkie systemy sztucznej inteligencji wchodzące w zakres proponowanego rozporządzenia 11 . W tym względzie EBC zauważa, że celem rozporządzenia (UE) 2019/2020 jest poprawa funkcjonowania rynku wewnętrznego poprzez wzmocnienie nadzoru rynku produktów objętych unijnym prawodawstwem harmonizacyjnym w celu zapewnienia, aby na rynku unijnym udostępniane były wyłącznie produkty spełniające wymagania zapewniające wysoki poziom ochrony interesów publicznych, takich jak zdrowie i bezpieczeństwo w ujęciu ogólnym, zdrowie i bezpieczeństwo w miejscu pracy, ochrona konsumentów, ochrona środowiska oraz bezpieczeństwa publicznego i każdego innego interesu publicznego chronionego prawodawstwem unijnym 12 .
2.1.2. Proponowane rozporządzenie definiuje organ nadzoru rynku jako organ krajowy prowadzący działania i stosujący środki zgodnie z rozporządzeniem (UE) 2019/1020 13 . Rozporządzenie (UE) 2019/1020 z kolei definiuje organ nadzoru rynku jako organ wyznaczony przez państwo członkowskie na podstawie rozporządzenia (UE) 2019/1020 jako odpowiedzialny za sprawowanie nadzoru rynku na terytorium tego państwa członkowskiego 14 . Ponadto w motywie 9 rozporządzenia (UE) 2019/1020 wyjaśniono, że odpowiedzialność za egzekwowanie unijnego prawodawstwa harmonizacyjnego powinna spoczywać na państwach członkowskich, a na ich organach nadzoru rynku powinien spoczywać obowiązek zapewnienia, by prawodawstwo to było w pełni przestrzegane 15 . Na tej podstawie EBC rozumie, że zgodnie z proponowanym rozporządzeniem EBC nie jest organem nadzoru rynku.
2.1.3. Proponowane rozporządzenie przewiduje jednak również, że przypadku systemów sztucznej inteligencji wprowadzanych do obrotu, oddawanych do użytku lub wykorzystywanych przez instytucje finansowe podlegające przepisom Unii dotyczącym usług finansowych za organ nadzoru rynku do celów proponowanego rozporządzenia uznaje się właściwy organ odpowiedzialny za sprawowanie nadzoru finansowego nad tymi instytucjami na podstawie wspomnianych przepisów 16 . Ponadto w motywie 80 proponowanego rozporządzenia wyjaśniono, że przepisy Unii dotyczące usług finansowych obejmują zasady i wymogi dotyczące zarządzania wewnętrznego i zarządzania ryzykiem, które mają zastosowanie do objętych regulacją instytucji finansowych podczas świadczenia tych usług, w tym wówczas, gdy korzystają one z systemów sztucznej inteligencji. Wyjaśniono w nim także, że aby zapewnić spójne stosowanie i egzekwowanie obowiązków ustanowionych w proponowanym rozporządzeniu oraz odpowiednich zasad i wymogów ustanowionych w przepisach Unii dotyczących usług finansowych, organy odpowiedzialne za nadzór nad przepisami dotyczącymi usług finansowych i ich egzekwowanie, w tym w stosownych przypadkach EBC, należy wyznaczyć jako właściwe organy do celów nadzoru nad wdrażaniem proponowanego rozporządzenia, w tym do celów działań związanych z nadzorem rynku, w odniesieniu do systemów sztucznej inteligencji dostarczanych lub wykorzystywanych przez objęte regulacją i nadzorem instytucje finansowe. W tym zakresie wskazuje się również na potrzebę dalszego zwiększania spójności pomiędzy proponowanym rozporządzenia a zasadami mającymi zastosowanie do instytucji kredytowych regulowanych na mocy dyrektywy CRD.
2.1.4. Zgodnie z art. 127 ust. 6 Traktatu Rada może jednomyślnie powierzyć EBC szczególne zadania dotyczące polityk w dziedzinie nadzoru ostrożnościowego nad instytucjami kredytowymi i innymi instytucjami finansowymi, z wyjątkiem instytucji ubezpieczeniowych. Na tej podstawie rozporządzenie Rady (UE) nr 1024/2013 17 (zwane dalej "rozporządzeniem SSM") powierza EBC szczególne zadania w odniesieniu do polityki związanej z nadzorem ostro- żnościowym nad instytucjami kredytowymi, aby przyczynić się do bezpieczeństwa i dobrej kondycji instytucji kredytowych oraz stabilności systemu finansowego w ramach Unii i każdego państwa członkowskiego, w pełni i z należytą starannością uwzględniając jedność i integralność rynku wewnętrznego w oparciu o równe traktowanie instytucji kredytowych w celu zapobieżenia arbitrażowi regulacyjnemu 18 . W tym względzie EBC jest wyłącznie właściwy, do celów nadzoru ostrożnościowego, do zapewnienia zgodności ze wszystkimi odpowiednimi aktami Unii, które nakładają na instytucje kredytowe wymóg wprowadzenia m.in. solidnych procesów zarządzania ryzykiem i mechanizmów kontroli wewnętrznej 19 . Rola EBC w zakresie nadzoru ostrożnościowego w tym kontekście jest ograniczona do zapewnienia, aby instytucje kredytowe wdrażały polityki i procesy mające na celu ocenę ich ekspozycji na ryzyko ostrożnościowe, w tym ryzyko związane z różnymi aspektami modeli biznesowych banków, ryzyko związane z zarządzanie, ryzyko operacyjne i ryzyko wynikające z wykorzystania rozwiązań technologicznych, a także zarządzanie tą ekspozycją, w celu zapewnienia bezpieczeństwa i dobrej kondycji instytucji kredytowych oraz stabilności systemu finansowego 20 .
2.1.5. Nadzór rynku nie ma na celu zapewnienia bezpieczeństwa i dobrej kondycji instytucji kredytowych, lecz koncentruje się na ochronie interesów osób fizycznych, które mogłyby być potencjalnie narażone na skutki nadużyć ze strony systemów sztucznej inteligencji, poprzez zapewnienie spełniania przez takie systemy wymogów niezbędnych do zapewnienia wysokiego poziomu ochrony interesu publicznego przejawiającego się w takich dziedzinach jak zdrowie i bezpieczeństwo osób. W związku z tym EBC rozumie, że w zamierzeniu prawodawcy unijnego EBC nie ma pełnić funkcji organu nadzoru rynku w odniesieniu do instytucji kredytowych podlegających jego nadzorowi na mocy proponowanego rozporządzenia. Wniosek ten jest zgodny z motywami rozporządzenia SSM, w których wyjaśniono, że organy krajowe są właściwe do zapewnienia wysokiego poziomu ochrony konsumentów 21 .
2.1.6. Na tej podstawie EBC sugeruje, aby - w celu zachowania spójności z kompetencjami EBC w zakresie nadzoru ostrożnościowego wynikającymi z art. 127 ust. 6 Traktatu oraz rozporządzenia SSM - z treści proponowanego rozporządzenia jednoznacznie wynikało, że EBC nie jest wyznaczony jako organ nadzoru rynku ani że nie powierzono mu zadań w zakresie nadzoru rynku.
2.1.7. Chociaż zadania w zakresie nadzoru rynku nie zostały powierzone EBC, może się zdarzyć, że niektóre państwa członkowskie będą rozważały wyznaczenie właściwych organów krajowych zaangażowanych w nadzór nad instytucjami kredytowymi jako odpowiedzialnych za nadzór rynku w kontekście proponowanego rozporządzenia, w zakresie dopuszczonym na mocy ich mandatu i przynajmniej w zakresie, w jakim zadania związane z nadzorem rynku dotyczą sytuacji, w których system sztucznej inteligencji jest oddawany do użytku na potrzeby własne. Wyznaczenie właściwych organów krajowych zaangażowanych obecnie w nadzór nad instytucjami kredytowymi jako odpowiedzialnych za taki nadzór rynku mogłoby być postrzegane jako środek zapewniający spójność i efektywność kosztową wyników nadzoru, przy jednoczesnym wykorzystaniu wiedzy fachowej wykorzystywanej przez te organy przy wykonywaniu ich uprawnień dochodzeniowych i nadzorczych w odniesieniu do instytucji kredytowych.
2.1.8. Ponadto EBC zauważa, że postanowienia proponowanego rozporządzenia dotyczące nadzoru rynku nie uwzględniają w odpowiedni sposób sytuacji, w których system sztucznej inteligencji jest oddawany do użytku na potrzeby własne. Przykładowo na mocy proponowanego rozporządzenia uprawnienia organów nadzoru rynku do wycofania z obrotu lub odzyskania systemu sztucznej inteligencji mogą nie być skuteczne w doprowadzeniu do zaprzestania użytkowania tego systemu w sytuacjach związanych z użytkiem na potrzeby własne 22 . Sugeruje się zatem, aby prawodawca unijny doprecyzował, które środki ograniczające i powiązane uprawnienia właściwych organów powinny mieć zastosowanie do sytuacji związanych z użytkiem na potrzeby własne.
2.2. Wyjaśnienie kompetencji EBC w zakresie nadzoru ostrożnościowego w obszarze oceny zgodności
2.2.1. Proponowane rozporządzenie przewiduje 23 , że w przypadku systemów sztucznej inteligencji wysokiego ryzyka przeznaczonych do wykorzystania w celu oceny zdolności kredytowej osób fizycznych lub ustalenia ich punktowej oceny kredytowej 24 , które są wprowadzane do obrotu lub oddawane do użytku przez instytucje kredytowe, ocenę zgodności przeprowadza się w ramach procesu przeglądu i oceny nadzorczej (SREP) 25 . Proponowane rozporządzenie definiuje 26 ocenę zgodności jako proces weryfikacji, czy spełnione zostały obowiązkowe wymogi mające zastosowanie do systemów sztucznej inteligencji wysokiego ryzyka określone w proponowanym rozporządzeniu 27 .
2.2.2. Jak już wspomniano, na mocy art. 127 ust. 6 Traktatu Rada powierzyła EBC szczególne zadania dotyczące polityki związanej z nadzorem ostrożnościowym nad instytucjami kredytowymi, mając na względzie przyczynianie się, między innymi, do bezpieczeństwa i dobrej kondycji instytucji kredytowych oraz stabilności systemu finansowego w Unii i w każdym państwie członkowskim 28 . Aby nie wykraczać poza zadania powierzone mu na mocy Traktatu, EBC podkreśla, że może być w stanie nadzorować wdrażanie odpowiednich wymogów w kontekście procesu przeglądu i oceny nadzorczej, koncentrując się jednocześnie na ryzyku ostrożnościowym, na które mogą być narażone instytucje kredytowe. W związku z tym zachęca się prawodawcę unijnego do rozważenia, w jakim stopniu niektóre elementy oceny zgodności mogą nie mieć charakteru ostrożnościowego, ponieważ w dużej mierze dotyczą one oceny technicznej systemów sztucznej inteligencji mającej na celu ochronę zdrowia i bezpieczeństwa osób oraz zapewnienie poszanowania praw podstawowych poprzez zminimalizowanie ryzyka błędnych lub stronniczych procesów prowadzonych przy wsparciu sztucznej inteligencji. W szczególności odpowiednie przepisy proponowanego
rozporządzenia wymagają, aby systemy sztucznej inteligencji wysokiego ryzyka były projektowane lub projektowane i opracowywane:
1) na podstawie zbiorów danych treningowych, walidacyjnych i testowych spełniających określone kryteria jakości, w przypadku gdy wykorzystują one techniki obejmujące trenowanie modeli z wykorzystaniem danych;
2) tak, aby zawierały funkcje umożliwiające automatyczną rejestrację zdarzeń ("rejestry zdarzeń") w celu zapewnienia, w całym cyklu życia systemu sztucznej inteligencji, poziomu identyfikowalności jego funkcjonowania, który jest odpowiedni do przeznaczenia tego systemu;
3) w sposób zapewniający skuteczny nadzór nad nimi przez osoby fizyczne, w tym za pomocą narzędzi interfejsu człowiek-maszyna, w celu zapobiegania zagrożeniom dla zdrowia, bezpieczeństwa lub praw podstawowych mogących powstać w wyniku stosowania systemu sztucznej inteligencji wysokiego ryzyka, lub minimalizowania takich zagrożeń; oraz
4) w celu osiągnięcia odpowiedniego poziomu dokładności, solidności i cyberbezpieczeństwa 29 . Jak wyjaśniono w motywach proponowanego rozporządzenia, te wymogi dotyczące jakości wykorzystywanych zbiorów danych, dokumentacji technicznej i prowadzenia rejestrów, przejrzystości i przekazywania informacji użytkownikom, nadzoru ze strony człowieka oraz solidności, dokładności i cyberbezpieczeństwa są niezbędne, aby skutecznie ograniczyć zagrożenia dla zdrowia, bezpieczeństwa i praw podstawowych 30 .
2.2.3. W tym kontekście zachęca się prawodawcę unijnego do dalszej refleksji nad potrzebą wyznaczenia odpowiednich właściwych organów odpowiedzialnych za nadzór nad oceną zgodności przeprowadzaną przez instytucje kredytowe w odniesieniu do kwestii związanych ze zdrowiem, bezpieczeństwem i prawami podstawowymi oraz do rozważenia potrzeby zapewnienia zharmonizowanego stosowania proponowanego rozporządzenia na całym jednolitym rynku poprzez ustanowienie w przyszłości organu ds. sztucznej inteligencji na poziomie Unii.
2.2.4. Ponadto niektóre wymogi dotyczące systemów sztucznej inteligencji wysokiego ryzyka nie są całkowicie jasne lub na tyle szczegółowe, aby zapewnić ich wystarczające zrozumienie w kontekście oczekiwań nadzorczych. Przykładowo konieczne może być doprecyzowanie wymogu, by zbiory danych treningowych, walidacyjnych i testowych były adekwatne, reprezentatywne, wolne od błędów i kompletne 31 . Biorąc pod uwagę szeroki mandat udzielony europejskim organizacjom normalizacyjnym 32 , a zatem potencjalne ryzyko osłabienia norm określonych w proponowanym rozporządzeniu, wymogi dotyczące systemów sztucznej inteligencji wysokiego ryzyka określone w proponowanym rozporządzeniu powinny być wystarczająco szczegółowe.
2.2.5. Wreszcie, EBC rozumie, że ocena zgodności systemów sztucznej inteligencji dokonywana przez instytucje kredytowe w celu oceny zdolności kredytowej osób fizycznych lub ustalenia ich punktowej oceny kredytowej stanowi część kontroli wewnętrznej ex ante przeprowadzanej przez instytucję kredytową 33 . W związku z tym proponowane rozporządzenie 34 powinno zostać zmienione, aby odzwierciedlić charakter ex post szczegółowej oceny, która ma być prowadzona przez organ nadzoru ostrożnościowego w ramach procesu przeglądu i oceny nadzorczej.
2.3. Wyjaśnienie kompetencji EBC w zakresie nadzoru ostrożnościowego w ujęciu ogólnym
EBC może być uznany za właściwy organ jedynie w takim zakresie, w jakim jest to niezbędne do wykonywania przez niego zadań powierzonych mu na mocy rozporządzenia SSM. Aby uniknąć braku pewności prawnej co do tego, czy proponowane rozporządzenie powierza EBC nowe zadania, EBC jest zdania, że zamiast odnosić się bezpośrednio do EBC jako właściwego organu, proponowane rozporządzenie powinno odnosić się do właściwych organów określonych w odpowiednich aktach prawa Unii, takich jak dyrektywa CRD. Z rozporządzenia SSM wynikałoby wówczas, że EBC należy uznać za właściwy organ wyłącznie do celów wykonywania jego zadań w zakresie nadzoru ostrożnościowego 35 .
2.4. Wyjaśnienie niezależności EBC w wykonywaniu jego zadań wynikających z Traktatu
EBC rozumie, że działając jako dostawca wprowadzający do obrotu lub oddający do użytku systemy sztucznej inteligencji w Unii lub jako użytkownik systemów sztucznej inteligencji zlokalizowanych w Unii, sam może podlegać proponowanemu rozporządzeniu 36 . To samo dotyczy krajowych banków centralnych (KBC). Proponowane rozporządzenie przewiduje, że w przypadku gdy instytucje Unii są objęte jego zakresem, funkcję właściwego organu odpowiedzialnego za sprawowanie nad nimi nadzoru pełni Europejski Inspektor Ochrony Danych (EIOD) 37 . KBC mogłyby podlegać nadzorowi właściwych organów krajowych 38 . W tym kontekście należy podkreślić, że EBC i KBC powinny mieć możliwość niezależnego wykonywania zadań powierzonych im na mocy Traktatu 39 , na przykład przy wykorzystaniu wszelkich aplikacji opartych na sztucznej inteligencji do definiowania i realizacji polityki pieniężnej oraz wspierania sprawnego funkcjonowania systemów płatniczych 40 . Należy jednak zaznaczyć, że niezależność ESBC w wykonywaniu jego zadań nie zwalnia go ze wszystkich przepisów prawa Unii 41 . EBC rozumie, że ewentualny nadzór nad EBC sprawowany przez EIOD oraz nad KBC sprawowany przez właściwe organy krajowe ograniczałby się do właściwej kontroli nad systemem sztucznej inteligencji i zarządzania nim i w żaden sposób nie naruszałby zdolności EBC i KBC do niezależnego wykonywania przez nie zadań powierzonych im na mocy Traktatu.
3. Klasyfikacja systemów sztucznej inteligencji
3.1. Proponowane rozporządzenie ma na celu zapewnienie proporcjonalnych ram regulacyjnych w odniesieniu do jego celów poprzez przyjęcie podejścia opartego na ocenie ryzyka zakładającego nakładanie obciążeń regulacyjnych tylko wtedy, gdy system sztucznej inteligencji może stwarzać wysokie ryzyko dla praw podstawowych i bezpieczeństwa. Niemniej jednak, przewidując przyszły rozwój technologii sztucznej inteligencji, proponowane rozporządzenie szeroko definiuje oprogramowanie kwalifikujące się jako system sztucznej inteligencji. W rezultacie oprogramowanie, które jest opracowywane w celu generowania wyników, takich jak treści, przewidywania, zalecenia lub decyzje, z wykorzystaniem metod statystycznych i mechanizmów uczenia maszynowego, a także metod wyszukiwania i optymalizacji, stanowi system sztucznej inteligencji 42 . Ta szeroka definicja miałaby obejmować różnorodne działania podejmowane przez instytucje kredytowe, w szczególności w odniesieniu do systemów mających na celu przeprowadzanie punktowej oceny kredytowej osób fizycznych.
3.2. Zgodnie z proponowanym rozporządzeniem 43 zdecydowana większość działań w zakresie punktowej oceny kredytowej z wykorzystaniem systemów sztucznej inteligencji podlegałaby automatycznie horyzontalnym wymogom minimalnym nałożonym na systemy sztucznej inteligencji wysokiego ryzyka. W związku z tym szereg działań, w tym ukierunkowanie zakupów na potrzeby marketingu, modelowanie windykacji i standardowe modele punktowej oceny kredytowej (np. karta wyników z wykorzystaniem regresji logistycznej), musiałoby spełniać te same wymogi. W celu zwiększenia przejrzystości oczekiwań nadzorczych oraz pozostając w zgodzie z neutralnym podejściem EBC do technologii, sugeruje się, aby systemy sztucznej inteligencji, które mają być wykorzystywane do oceny zdolności kredytowej osób fizycznych lub ustalania ich punktowej oceny kredytowej i które opierają się na samodzielnym stosowaniu regresji liniowej lub logistycznej, lub też drzew decyzyjnych pod nadzorem człowieka, nie były klasyfikowane jako systemy sztucznej inteligencji wysokiego ryzyka, pod warunkiem że wpływ takich metod na ocenę zdolności kredytowej osób fizycznych lub ich punktową ocenę kredytową jest niewielki.
3.3. Ponieważ działania związane z punktową oceną kredytową są regularnie przeprowadzane przez instytucje kredytowe w ramach ich codziennej praktyki, EBC sugeruje, aby wejście w życie wymogów odnoszących się do kwalifikowania systemów sztucznej inteligencji przeznaczonych do oceny zdolności kredytowej osób fizycznych lub ustalania ich punktowej oceny kredytowej jako "systemów sztucznej inteligencji wysokiego ryzyka" zostało odroczone do czasu przyjęcia przez Komisję wspólnych specyfikacji 44 w tym zakresie. W szczególności te wspólne specyfikacje powinny zarówno określać warunki, pod jakimi systemy sztucznej inteligencji wysokiego ryzyka w tej dziedzinie będą uznawane za zgodne z obowiązującymi wymogami, jak i definiować, kiedy systemy sztucznej inteligencji powinny być uznawane za "oddawane do użytku przez drobnych dostawców na ich własny użytek", a zatem być objęte wyjątkiem od kwalifikacji jako systemy sztucznej inteligencji wysokiego ryzyka 45 . Biorąc pod uwagę powyższe, EBC powinien znajdować się wśród organów, których opinii zasięga się przed przyjęciem takich wspólnych specyfikacji, jeżeli dotyczą one systemów sztucznej inteligencji przeznaczonych do oceny zdolności kredytowej osób fizycznych lub ustalania ich punktowej oceny kredytowej 46 .
3.4. Wreszcie, EBC z zadowoleniem przyjmuje możliwość aktualizacji wykazu systemów sztucznej inteligencji wysokiego ryzyka zawartego w załączniku III do proponowanego rozporządzenia 47 oraz wyraża gotowość do współpracy z Komisją i wydawania na jej wniosek opinii w zakresie identyfikacji dalszych potencjalnych zagrożeń związanych z systemami sztucznej inteligencji, które mogą stwarzać ryzyko szkody dla zdrowia i bezpieczeństwa lub ryzyko niekorzystnego wpływu na prawa podstawowe. Oprócz systemów sztucznej inteligencji wykorzystywanych do punktowej oceny kredytowej lub oceny zdolności kredytowej osób fizycznych proponowane rozporządzenie nie określa jako systemów wysokiego ryzyka innych systemów, które mogą zostać oddane do użytku konkretnie przez instytucje kredytowe. Niemniej jednak instytucje kredytowe zajmują się opracowywaniem lub rozważają opracowanie i wykorzystanie modelowania danych w oparciu o sztuczną inteligencję łączącego dane dotyczące sprzedaży, transakcji i wyników, aby zapewnić jasny przegląd ryzyka związanego z działaniami w danym obszarze. Systemy sztucznej inteligencji mogą być także wykorzystywane do monitorowania płatności w czasie rzeczywistym lub profilowania klientów lub transakcji do celów przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu.
W przypadku gdy EBC zaleca zmianę proponowanego rozporządzenia, szczegółowe propozycje zmian wraz z ich uzasadnieniem zostały zawarte w odrębnym roboczym dokumencie o charakterze technicznym. Dokument roboczy o charakterze technicznym jest dostępny w języku angielskim na stronie EUR-Lex.
Sporządzono we Frankfurcie nad Menem dnia 29 grudnia 2021 r.
|
Christine LAGARDE |
|
Prezes EBC |
1 COM(2021) 206 final.
2 Dyrektywa Parlamentu Europejskiego i Rady 2013/36/UE z dnia 26 czerwca 2013 r. w sprawie warunków dopuszczenia instytucji kredytowych do działalności oraz nadzoru ostrożnościowego nad instytucjami kredytowymi i firmami inwestycyjnymi, zmieniająca dyrektywę 2002/87/WE i uchylająca dyrektywy 2006/48/WE oraz 2006/49/WE (Dz.U. L 176 z 27.6.2013, s. 338).
3 Zob. art. 9 ust. 9, art. 18 ust. 2, art. 20 ust. 2 i art. 29 ust. 5 proponowanego rozporządzenia oraz art. 74 dyrektywy CRD.
4 Zob. art. 74 dyrektywy CRD.
5 Zob. art. 17 ust. 3 i art. 29 ust. 4 proponowanego rozporządzenia.
6 Zob. art. 74 dyrektywy CRD.
8 Zob. wywiad z Andreą Enrią, przewodniczącym Rady ds. Nadzoru EBC, pt. "A binary future? How digitalisation may change banking" [Przyszłość binarna? W jaki sposób cyfryzacja może zmienić bankowość], De Nederlandsche Bank, Amsterdam, 11 marca 2019 r., dostępny na stronie internetowej EBC poświęconej nadzorowi bankowemu pod adresem: www.bankingsupervision.europa.eu.
9 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/1020 z dnia 20 czerwca 2019 r. w sprawie nadzoru rynku i zgodności produktów oraz zmieniające dyrektywę 2004/42/WE oraz rozporządzenia (WE) nr 765/2008 i (UE) nr 305/2011 (Dz.U. L 169 z 25.6.2019, s. 1).
10 Zob. art. 63 ust. 1 proponowanego rozporządzenia.
11 Zob. art. 63 ust. 1 lit. b) proponowanego rozporządzenia.
12 Zob. art. 1 ust. 1 rozporządzenia (UE) 2019/1020.
13 Zob. art. 3 ust. 26 proponowanego rozporządzenia.
14 Zob. art. 3 ust. 4 rozporządzenia (WE) nr 2019/1020.
15 Zob. motyw 9 rozporządzenia (UE) nr 2019/1020.
16 Zob. art. 63 ust. 4 proponowanego rozporządzenia.
17 Rozporządzenie Rady (UE) nr 1024/2013 z dnia 15 października 2013 r. powierzające Europejskiemu Bankowi Centralnemu szczególne zadania w odniesieniu do polityki związanej z nadzorem ostrożnościowym nad instytucjami kredytowymi (Dz.U. L 287 z 29.10.2013, s. 63).
18 Zob. art. 1 akapit pierwszy rozporządzenia SSM.
19 Zob. art. 4 ust. 1 lit. e) rozporządzenia SSM.
20 Zob. motyw 30 rozporządzenia SSM oraz s. 53 i 54 dokumentu pt. "ESCB/European banking supervision response to the European Commission's public consultation on a new digital finance strategy for Europe/FinTech action plan" z sierpnia 2020 r. [Odpowiedź EBC na konsultacje Komisji Europejskiej w sprawie nowej strategii finansów cyfrowych dla Europy i planu działania w zakresie technologii finansowej], dostępnego na stronie internetowej EBC poświęconej nadzorowi bankowemu.
21 Zob. motywy 28 i 29 rozporządzenia w sprawie SSM.
22 Zob. art. 3 pkt 16 i 17, art. 65 ust. 2 akapit drugi oraz art. 65 ust. 5 i art. 67 ust. 1 proponowanego rozporządzenia.
23 Zob. art. 19 ust. 2 i art. 43 ust. 2 proponowanego rozporządzenia.
24 Zob. pkt 5 lit. b) załącznika III do proponowanego rozporządzenia.
25 Art. 97-101 dyrektywy CRD dotyczą procesu przeglądu i oceny nadzorczej.
26 Zob. art. 3 ust. 20 proponowanego rozporządzenia.
27 Zob. art. 8-15 rozdział 2 tytuł III proponowanego rozporządzenia.
28 Zob. art. 1 akapit pierwszy rozporządzenia SSM.
29 Zob. art. 10, 12, 14 i 15 proponowanego rozporządzenia.
30 Zob. motyw 43 proponowanego rozporządzenia.
31 Zob. art. 10 ust. 3 proponowanego rozporządzenia.
32 Zob. art. 40 i motyw 61 proponowanego rozporządzenia.
33 Zob. art. 43 ust. 2 zdanie pierwsze i załącznik VI do proponowanego rozporządzenia.
34 Zob. art. 19 ust. 2, a w szczególności art. 43 ust. 2 zdanie drugie proponowanego rozporządzenia.
35 Zob. art. 6 rozporządzenia SSM.
36 Zob. art. 2 proponowanego rozporządzenia.
37 Zob. art. 59 ust. 8 i art. 63 ust. 6 proponowanego rozporządzenia.
38 Zob. art. 59 ust. 2 proponowanego rozporządzenia.
39 Zob. art. 130 Traktatu.
40 Zob. pierwsze i czwarte tiret art. 127 ust. 2 Traktatu.
41 Zob. wyrok Trybunału Sprawiedliwości Unii Europejskiej z dnia 10 lipca 2003 r. w sprawie C-11/00, Komisja przeciwko Europejskiemu Bankowi Centralnemu, ECLI:EU:C:2003:3, pkt 130-135.
42 Zob. art. 3 ust. 1 oraz załącznik I do proponowanego rozporządzenia.
43 Zob. pkt 5 lit. b) załącznika III do proponowanego rozporządzenia.
44 Zob. art. 41 ust. 1 proponowanego rozporządzenia.
45 Zob. pkt 5 lit. b) załącznika III do proponowanego rozporządzenia.
46 Zob. art. 41 ust. 2 proponowanego rozporządzenia.
47 Zob. art. 7 ust. 1 proponowanego rozporządzenia.
