Unijne rozporządzenie o sztucznej inteligencji nie wyeliminuje ryzyka nadużyć

W połowie czerwca akt o sztucznej inteligencji (AIA) został przyjęty przez Parlament Europejski. Teraz rozpoczynają się negocjacje z państwami członkowskimi dotyczące ostatecznego kształtu przepisów. Co istotne, pierwszy kompleksowy akt prawny, który ma uregulować zasady korzystania z systemów wykorzystujących sztuczną inteligencję, będzie funkcjonował w formie unijnego rozporządzenia. Oznacza to, że będzie obowiązywał bezpośrednio, bez konieczności wdrażania aktów prawnych na poziomie krajowym. Choć trzeba zaznaczyć, że część regulacji i tak wymusi zmiany w prawie również w poszczególnych państwach. Przepisy mogą zacząć obowiązywać już pod koniec roku – a ich najważniejszym celem ma być wyeliminowanie potencjalnych nadużyć.

Czytaj w LEX: Akt o sztucznej inteligencji [projekt UE] >

Czytaj też: Coraz bliżej rewolucyjnych zmian w prawie dotyczącym sztucznej inteligencji >>

Podstawą analiza ryzyka

Unijne przepisy mają opierać się na stworzeniu czterech kategorii poziomów ryzyka w sztucznej inteligencji: niedopuszczalnego, wysokiego, ograniczonego lub minimalnego (braku) ryzyka. Najbardziej restrykcyjnie mają być traktowane systemy zaliczone do pierwszej kategorii, ich użycie ma być bowiem całkowicie zakazane. Chodzi o sytuacje, w których sztuczna inteligencja jest wykorzystywana do pozyskiwania danych wyjątkowo wrażliwych, co prowadzi do wysokiego prawdopodobieństwa nadużyć. Szczególny nacisk UE kładzie tutaj na:

pozyskiwanie danych biometrycznych w czasie rzeczywistym w przestrzeni publicznej (np. skanowanie twarzy przechodniów);
manipulowanie oparte na metodzie poznawczo – behawioralnej, czyli np. stwarzanie zabawek aktywowanych głosem, które zachęcają dzieci do niebezpiecznych zachowań;
tzw. scoring, czyli klasyfikowanie ludzi na podstawie ich zachowań, statusu społeczno-ekonomicznego lub cech osobistych.

Z kolei systemy wysokiego ryzyka to te, które mogą wpływać negatywnie na bezpieczeństwo lub prawa podstawowe.

Zobacz nagranie szkolenia w LEX: Prawne aspekty sztucznej inteligencji >

Nowość

Prawo sztucznej inteligencji i nowych technologii 2

Bogdan Fischer, Adam Pązik, Marek Świerczyński

Sprawdź

Wyjątki w służbie organów ścigania

Od zakazów wykorzystywania systemów sztucznej inteligencji w wymienionych przypadkach unijny ustawodawca przewiduje jednak kilka wyjątków. Chodzi np. o dopuszczenie wykorzystania zdalnych systemów identyfikacji biometrycznej do ścigania poważnych przestępstw, ale po uzyskaniu zgody sądu. Jak zaznacza adwokat Bartosz Łabęcki, associate w kancelarii KWKR Konieczny Wierzbicki i Partnerzy S.K.A, chodzi zwłaszcza o: poszukiwanie potencjalnych ofiar przestępstw, w tym zaginionych dzieci; zapobieganie niektórym zagrożeniom życia lub bezpieczeństwa fizycznego osób fizycznych lub atakowi terrorystycznemu; czynności śledcze dotyczące najpoważniejszych przestępstw, takich jak m. in. terroryzm, udział w organizacji przestępczej czy handel ludźmi.

- Każde wykorzystanie systemów zdalnej identyfikacji biometrycznej "w czasie rzeczywistym" musi podlegać wyraźnemu i szczegółowemu zezwoleniu, wydanemu przez niezależny organ władzy publicznej. Należy podkreślić, że powyższy zakaz nie dotyczy wykorzystania systemów identyfikacji biometrycznej post factum, a także identyfikacji biometrycznej "w czasie rzeczywistym" w innych celach, niż egzekwowanie prawa, które są regulowane na ogólnych zasadach – zaznacza prawnik.

Czytaj też: Człowiek i sztuczna inteligencja >>

Poważne zagrożenie dla prywatności

Prawnicy podkreślają, że kluczowe jest rozróżnienie identyfikacji biometrycznej w czasie rzeczywistym, polegającej na zbieraniu i gromadzeniu danych „na żywo” od tej „post factum”, czyli ze znacznym opóźnieniem.

- Oba rodzaje systemów klasyfikowane są jako tzw. systemy wysokiego ryzyka, ale prawodawca unijny zwraca szczególną uwagę na zdalne systemy identyfikacji biometrycznej „w czasie rzeczywistym”. Są one uznawane za szczególnie ingerujące w prawa i wolności obywateli – wyjaśnia mec. Łabęcki.

Czytaj też: Pułapki sztucznej inteligencji >>

I właśnie ta terminologia może, zdaniem prawników, sprawić w przyszłości problemy praktyczne i stworzyć potencjalne pole do nadużyć.

- Największe obawy takiej regulacji budzi niedostatecznie precyzyjne rozróżnienie pomiędzy identyfikacją biometryczną „w czasie rzeczywistym” a identyfikacją „post factum”. Może to prowadzić do problemów w interpretacji i stosowaniu prawa, jak również do różnic w zrozumieniu przepisów w poszczególnych państwach członkowskich. Projekt AI Act koncentruje się głównie na systemach identyfikacji biometrycznej „w czasie rzeczywistym” stosowanych w celu egzekwowania prawa, znacząco pomijając jednak inne potencjalne zastosowania tych systemów oraz systemów identyfikacji biometrycznej "post factum". Takie zastosowania mogą stanowić poważne zagrożenie dla prywatności oraz innych praw obywateli. Z tego powodu, niezbędne jest, aby przyszłe regulacje uwzględniały również te obszary, zapewniając odpowiednie mechanizmy ochrony praw obywateli – zaznacza mec. Łabęcki.

Nie każdemu ustawodawcy można w pełni zaufać

Dr Gabriela Bar, radczyni prawna i partnerka zarządzająca w kancelarii Szostek_Bar i Partnerzy ocenia, że wprowadzone wyjątki mogą budzić obawy co do możliwych nadużyć, zwłaszcza w krajach, w którym ustawodawcom nie do końca można zaufać w kwestiach praworządności. Podkreśla jednak, że Parlament Europejski zadecydował o usunięciu wyjątków co do stosowania identyfikacji biometrycznej przez organy ścigania, które były przewidziane w projekcie KE, co jest niewątpliwie dobrym posunięciem.

Czytaj w LEX: Model systemowego przeciwdziałania dyskryminacji algorytmicznej - uwagi na tle projektu aktu w sprawie sztucznej inteligencji >

- Jak w praktyce będzie wyglądała ocena ryzyka i zakwalifikowanie systemu do kategorii wysokiego ryzyka (a nie nieakceptowalnego na przykład), trudno dziś powiedzieć. Będzie ona wymagała niewątpliwie dużych kompetencji po stronie podmiotów objętych regulacją Aktu o AI, a także organów nadzoru. Obawiam się nieco, czy te będą miały odpowiednio wykwalifikowany personel mogący prawidłowo ocenić ryzyko stwarzane przez dany system i prawidłowość wdrożenia środków je mitygujących, zgodnie z rozporządzeniem – podkreśla prawniczka.

Dlatego zaznacza, że oprócz samego przyjęcia rozporządzenia konieczne będą niewątpliwie dalsze działania.

- Pomocne może być opracowanie przez Komisję wytycznych jasno określających okoliczności, w których dane wyjściowe systemów AI wysokiego ryzyka, o których mowa w załączniku III, stwarzałyby znaczne ryzyko szkody dla zdrowia, bezpieczeństwa lub praw podstawowych osób fizycznych. Takie wytyczne KE będzie miała obowiązek przedstawić na 6 miesięcy przed wejściem w życie rozporządzenia Komisja, po konsultacji z Urzędem ds. AI i odpowiednimi zainteresowanymi stronami – podsumowuje.

Twoja kancelaria może się wyróżnić!
Poznaj Legal Alert, czyli łatwy w obsłudze program do wysyłki newslettera prawnego dla klientów.
Pobierz przykładowy newsletter >>>

-------------------------------------------------------------------------------------------------------------------

Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.