21 kwietnia 2021 roku Komisja Europejska opublikowała projekt rozporządzenia w sprawie sztucznej inteligencji („Projekt  Rozporządzenia w sprawie AI” ). Jest to pierwszy projekt regulacji sztucznej inteligencji nie tylko w Unii Europejskiej, ale także na świecie. Z pewnością decyzja o podjęciu próby uregulowania sposobu wykorzystania sztucznej inteligencji w Unii Europejskiej wynika z faktu, że jest ona wskazywana jako kluczowa technologia przyszłości.

Czytaj: UE zakaże wykorzystywania sztucznej inteligencji do oceny obywateli przez rządy>>
 

Firmy szukają innowacyjnych technologii

W skali globalnej, nad wykorzystaniem sztucznej inteligencji w swoich przedsięwzięciach pracuje obecnie prawie 70 proc. firm. Jak wynika z globalnego badania „AI Ethics Study” przeprowadzonego przez EY i The Future Society, dzięki sztucznej inteligencji firmy chcą przede wszystkim oferować najnowocześniejsze i najbardziej innowacyjne rozwiązania i skupiają się głównie na ich efektywności i wartości, które niosą dla użytkownika końcowego (badanie EY i The Future Society zostało przeprowadzone pod koniec 2019 i na początku 2020 roku w 55 krajach, wśród 71 legislatorów, regulatorów i doradców w zakresie sztucznej inteligencji oraz 284 firm wykorzystujących tę technologię).

Czytaj w LEX: Człowiek i sztuczna inteligencja >

Przedsiębiorcy często uważają jednak, że prawo nie nadąża za rozwojem nowych technologii. Mówią tak również gremialnie (90 proc.) polskie firmy, które były pytane o to w badaniu przeprowadzonym przez EY Law („Raport EY Law Compass. Prawo i innowacje. Wyzwania 2020”, czerwiec 2020), a sztuczna inteligencja jest wskazywana jako największe wyzwanie prawne. To efekt braku przepisów – nawet w zakresie samej definicji sztucznej inteligencji – które w sposób jasny regulowałyby kwestie związane z tą technologią. Obecnie w odniesieniu do sztucznej inteligencji mogą mieć zastosowanie regulacje dotyczące ochrony danych i prywatności, ochrony konsumentów, czy przepisy w zakresie bezpieczeństwa produktów i odpowiedzialności. To jednak regulacje ogólne, rozproszone i często niejednoznaczne. Wydaje się więc, że wymarzonym rozwiązaniem jest Projekt Rozporządzenia w sprawie AI, który wysuwa na pierwszy plan człowieka i ma na celu zapewnienie kontroli nad systemem AI.

 


Nowe praw dla Unii i nie tylko

Projekt Rozporządzenia w sprawie AI nie reguluje kwestii samej technologii, a sposób jej wykorzystywania i ma obowiązywać podmioty publiczne i prywatne w Unii Europejskiej oraz poza nią – w sytuacji, gdy określony system sztucznej inteligencji ma być wprowadzony do obrotu w Unii Europejskiej lub jego stosowanie będzie miało wpływ na mieszkańców Unii Europejskiej. W rezultacie producenci AI na całym świecie będą musieli zwrócić szczególną uwagę na przestrzeganie nowego Rozporządzenia w sprawie AI, a dostawcy zlokalizowani w państwach trzecich, poza UE będą zobowiązani do mianowania swoich przedstawicieli w UE.

Zobacz w LEX: Nowe technologie w świecie finansów. Perspektywa prawno-regulacyjna - nagranie ze szkolenia >

Zakres regulacji systemów sztucznej inteligencji przedstawiony w Rozporządzeniu opiera się na zasadzie: im większe ryzyko związane z AI, tym surowsza regulacja. Systemy, które mogą w znaczący sposób ingerować w życie człowieka np. systemy zdalnej identyfikacji biometrycznej w czasie rzeczywistym, systemy stosowane do rekrutacji lub do oceny scoringu kredytowego, a także medyczne zastosowania AI zostały sklasyfikowane jako systemy wysokiego ryzyka. Będą tym samym podlegały szeregowi rygorystycznych zobowiązań skierowanych do producentów, dystrybutorów i użytkowników takich systemów.

Czytaj: Zajdel-Całkowska: Sztuczna inteligencja także w służbie medycyny, tylko potrzebne lepsze prawo>>
 

Dla przykładu, obowiązki dostawcy systemów AI wysokiego ryzyka obejmą wdrażanie systemów zarządzania ryzykiem i jakością, walidację jakości danych wykorzystywanych do szkolenia systemów sztucznej inteligencji, dostarczanie jasnych instrukcji dla użytkowników, zapewnienie spójności, dokładności, solidności i cyberbezpieczeństwa systemów sztucznej inteligencji oraz samocertyfikującą ocenę zgodności za pomocą oznakowania CE. Dostawcy będą musieli również rejestrować szczegóły systemu AI w bazie danych UE, monitorować działanie systemu AI, zgłaszać poważne incydenty i naruszenia oraz poprawiać lub wycofywać niezgodne z przepisami systemy AI, a także współpracować z organami regulacyjnymi i dostarczać im informacje, gdy jest to wymagane. Systemy służące do oceny wiarygodności społecznej (social scoring) lub rozwiązania wykorzystujące manipulację podprogową w celu wpłynięcia na zachowanie ludzi, będą zakazane jako charakteryzujące się nieakceptowalnym ryzykiem. Podobnie jak RODO, Rozporządzenie w sprawie AI wiąże się z ryzykiem ogromnych kar – w tym przypadku nawet w wysokości 30 mln EUR lub 6 proc. rocznego obrotu za najpoważniejsze naruszenia zakazów. Co więcej, RODO i Rozporządzenie w sprawie AI nie wykluczają się wzajemnie – rozporządzenie w sprawie AI będzie obok RODO dodatkowym zestawem wymogów.

Czytaj w LEX: Przeciwdziałanie unikaniu opodatkowania z wykorzystaniem algorytmów i sztucznej inteligencji na przykładzie nadużyć umów o UPO w świetle PPT >

Uwaga na dane osobowe

Opinia EROD i EIOD wskazuje wysokie ryzyko ingerencji w prawa i wolności ludzi związane z zdalną identyfikacją biometryczną w przestrzeni publicznej. Organy apelują o zakazanie wykorzystywania AI do automatycznego rozpoznawania cech ludzkich.

W odpowiedzi na Projekt Rozporządzenia w sprawie AI, czołowe unijne organy regulacyjne ds. ochrony danych: Europejska Rada Ochrony Danych (EROD) i Europejski Inspektor Ochrony Danych (EIOD) przyjęły wspólną opinię, w której wezwały do zakazania wykorzystywania AI do automatycznego rozpoznawania cech ludzkich w miejscach publicznych oraz niektórych innych zastosowań AI, które mogą prowadzić do nieuczciwej dyskryminacji. Opinia wskazuje na niezwykle wysokie ryzyko ingerencji w prawa i wolności ludzi związane z zdalną identyfikacją biometryczną w przestrzeni publicznej. Organy wzywają więc do zakazu biometrii w celu zautomatyzowanej identyfikacji osób w przestrzeni publicznej „w każdym kontekście”, wskazując także na ryzyko ingerencji w prawa i wolności ludzi związane ze zdalną identyfikacją  chodu, odcisków palców, DNA, głosu. 

Czytaj w LEX: RODO w IT: sztuczna inteligencja a dane osobowe - czy RODO definiuje AI oraz ML? >

Zakaz stosowania aplikacji związanych z biometrią?

W swojej opinii Europejska Rada Ochrony Danych oraz  Europejski Inspektor Ochrony Danych wzywają również do wprowadzenia zakazu stosowania aplikacji związanych z biometrią, które mają na celu kategoryzowanie osób ze względu na pochodzenie etniczne, płeć, orientację polityczną lub orientację seksualną lub inne obszary chronione przed dyskryminacją na mocy art. 21 Karty Praw Podstawowych Unii Europejskiej. Według czołowych unijnych organów regulacyjnych ds. ochrony danych, rozpoznawanie emocji jest również „wysoce niepożądane” i powinno być zakazane, z wyjątkiem niektórych zastosowań opieki zdrowotnej, podobnie jak każdy rodzaj punktacji społecznej. Zastosowania takie jak rozpoznawanie twarzy na żywo kolidują z podstawowymi prawami i wolnościami w takim stopniu, że mogą podważyć istotę tych praw i wolności. Ogólny zakaz stosowania rozpoznawania twarzy w publicznie dostępnych obszarach jest niezbędnym punktem wyjścia, jeśli chcemy zachować nasze wolności i stworzyć ramy prawne dla sztucznej inteligencji zorientowane na człowieka.

Zobacz w LEX: HR TECH SUMMIT 2021: Głos pracownika. Praktyczne zastosowanie sztucznej inteligencji w celu podjęcia efektywnych decyzji organizacyjnych >

Odmienne podejście do technologii rozpoznawania twarzy: Chiny i USA  

Gdy w UE dyskutuje się nad zakazaniem stosowania identyfikacji biometrycznej, w Chinach technologia ta zyskuje na popularności i jest powszechnie stosowana w czasie rzeczywistym, często w celu dokonania oceny obywatela, a więc social scoringu zakazanego w Projekcie Rozporządzenia w sprawie AI. Co prawda powstają chińskie regulacje, mające na celu ochronę danych osobowych obywateli i jeszcze w tym roku wejść w życie ma pierwsza kompleksowa chińska ustawa o ochronie danych osobowych (Personal Information Protection Law, „PIPL”), tworzona zresztą na wzór unijnego RODO. W założeniu ma ona ustanawiać wyższy standard ochrony dla szczególnych kategorii danych osobowych, a więc również dla danych biometrycznych. Jak stanowi art. 27 PIPL, przetwarzanie takich danych powinno być możliwe wyłącznie, gdy jest to konieczne do zapewnienia bezpieczeństwa publicznego i gdy przetwarzanie odbywa się zgodnie z odpowiednimi przepisami państwowymi, przy czym konieczne jest również zainstalowanie wyraźnych znaków informacyjnych. W teorii więc stosowanie rozpoznawania twarzy zostanie mocno ograniczone, jednak w praktyce wyjątki przewidziane w PIPL pozwolą na dalsze stosowanie tej technologii .

Czytaj w LEX: Sztuczna inteligencja i jej wynalazki - studium przypadku >

W USA  z kolei część firm wycofuje swoje technologie rozpoznawania twarzy w obawie, że mogą być one wykorzystywane do masowego nadzoru i profilowania na tle etnicznym. Takie podejście potwierdza, że technologia rozpoznawania twarzy niesie za sobą zagrożenia masową inwigilacją, a także może naruszać prawa człowieka i może bezpośrednio wpływać na profilowanie na tle rasowym. Z drugiej strony podejście Chin pokazuje, że technologia AI może zwiększyć transparentność i pomóc w ochronie społeczności. W każdym jednak przypadku technologia AI nie może promować dyskryminacji i niesprawiedliwości rasowej.

Kwestia dyskryminacji i niesprawiedliwości rasowej to przede wszystkim także zagadnienie natury etycznej. W badaniu AI Ethics Study przeprowadzonego przez EY i The Future Society ankietowani proszeni byli o wskazanie i uszeregowanie 11 najważniejszych zagadnień etycznych w odniesieniu do 12 rozwiązań technologicznych wykorzystujących sztuczną inteligencję. W zakresie kwestii etycznych przy wykorzystaniu sztucznej inteligencji w rozwiązaniach rozpoznających twarz np. w celu weryfikacji na lotniskach, w bankach czy hotelach wskazywali właśnie na bezstronność i unikanie uprzedzeń (ang. „Fairness and Avoiding bias”). Nie jest to jednak kwestia, która znalazła się na liście priorytetów firm. Najistotniejsza w opinii firm jest natomiast prywatność i prawa do danych („Privacy and Data Rights”). Bezpieczeństwo i ochrona (ang. „Safety and Security”) to z kolei druga pod względem ważności etycznych kwestii, które zdaniem firm wymagają uwagi przy rozwiązaniach wykorzystujących sztuczną inteligencję do rozpoznawania twarzy. Trzecia istotna kwestia etyczna przy wykorzystaniu sztucznej inteligencji w rozwiązaniach rozpoznających twarz kwestia to transparentność (Transparency).

Czytaj w LEX: Problematyka sztucznej inteligencji w świetle prawa autorskiego >

Jakie będą dalsze losy Projektu Rozporządzania w sprawie AI?

Projekt Rozporządzania w sprawie AI zostanie poddany konsultacjom. W następnej kolejności Parlament Europejski i państwa członkowskie poprzez Radę zdecydują, czy zaakceptują wniosek Komisji. W sytuacji przyjęcia Rozporządzania, będzie ono bezpośrednio stosowane w UE.  Niewątpliwie mamy obecnie ogromną akceleracje tej technologii. Są powody do obaw, ale i są szanse cyfrowego świata. Skoro logika algorytmów uwodzi obecnie biznes, a z drugiej strony mówi się, że systemy AI nigdy nie będą doskonałe to potrzebujemy gwarancji związanych z zachowaniem prawa do prywatności, zakazu dyskryminacji, a co za tym idzie ram prawnych regulacji dotyczących AI. Z pewnością jednak już na etapie tworzenia algorytmów powinny być rozwijane systemy bezpieczeństwa i systemy etyczne.

Autroka: Justyna Wilczyńska-Baraniak – adwokat, associate partner, lider Zespołu Prawa Własności Intelektualnej, Technologii i Danych Osobowych w EY Law. Twórca i kierownik studiów podyplomowych Prawo w Biznesie Nowych Technologii, realizowanych w Centrum Kształcenia Podyplomowego Uczelni Łazarskiego.