Mateusz Kupiec: Twórca oprogramowania odpowie za jego bezpieczeństwo
Wejście w życie unijnej dyrektywy o odpowiedzialności za produkty wadliwe i odpowiednich zmian w polskim prawie cywilnym będzie istotną zmianą, ponieważ obejmą odpowiedzialnością za produkt niebezpieczny także oprogramowanie, cyfrowe pliki produkcyjne i powiązane usługi cyfrowe – twierdzi Mateusz Kupiec, prawnik z kancelarii Traple Konarski Podrecki i Wspólnicy, asystent badawczy w Instytucie Nauk Prawnych PAN. I podkreśla, że producenci będą musieli przykładać większą wagę do dokumentacji bezpieczeństwa produktu, polityki aktualizacji i modernizacji, zarządzania składnikami produktu oraz cyberbezpieczeństwa.
Krzysztof Sobczak: Przygotowany przez Komisję Kodyfikacyjną Prawa Cywilnego projekt nowelizacji kodeksu cywilnego i kodeksu postępowania cywilnego, która ma wdrożyć do krajowego porządku prawnego unijną dyrektywę w sprawie odpowiedzialności za produkty wadliwe, zakłada uznanie za produkty programów informatycznych, w tym sztuczną inteligencję. Co to będzie oznaczać w praktyce?
Mateusz Kupiec: Jeżeli te przepisy wejdą w życie, będą istotną zmianą, ponieważ obejmą odpowiedzialnością za produkt niebezpieczny także oprogramowanie i cyfrowe pliki produkcyjne, a przez konstrukcję składnika produktu - również powiązane usługi cyfrowe. Ma to znaczenie dla produktów, których bezpieczeństwo zależy od aktualizacji, modernizacji, cyberbezpieczeństwa, integracji z innymi produktami albo zdolności uczenia się lub nabywania nowych cech po wprowadzeniu do obrotu albo oddaniu do użytku.
Zobacz również: Producent programu komputerowego odpowie za szkody na życiu i zdrowiu >>
Łatwiej będzie udowodnić, że z takim produktem jest coś nie w porządku?
Łatwiej, ale nie oznacza to jednak, że dyrektywa i wdrażające ją przepisy rozwiążą wszystkie problemy. Projektowane przepisy określają przede wszystkim, kiedy powstaje obowiązek naprawienia szkody wyrządzonej przez niebezpieczne właściwości produktu. W konkretnej sprawie nadal trzeba będzie ustalić, że produkt był niebezpieczny, że powstała szkoda objęta tymi przepisami oraz że pozostaje ona w normalnym związku przyczynowym z niebezpiecznymi właściwościami produktu. Szczególnie trudne mogą być sprawy dotyczące systemów AI. Akt w sprawie sztucznej inteligencji definiuje system AI jako system maszynowy działający z różnym poziomem autonomii, mogący wykazywać zdolność adaptacji po wdrożeniu i generować wyniki takie jak predykcje, treści, zalecenia lub decyzje. Dyrektywa 2024/2853 obejmuje natomiast oprogramowanie, w tym systemy AI, odpowiedzialnością za produkt. W praktyce sporne może być, czy źródłem szkody był pierwotny projekt produktu, dane, aktualizacja, brak aktualizacji, powiązana usługa, luka w cyberbezpieczeństwie, integracja z innym produktem, działanie osoby trzeciej albo możliwy do przewidzenia sposób użycia.
Czytaj: Za bezpieczeństwo produktu odpowiada nie tylko producent>>
Większa odpowiedzialność biznesu za niebezpieczne produkty - PE przyjął przepisy>>
Zarówno twórcy dyrektywy, jak i autorzy polskiego projektu nowelizacji kodeksu cywilnego i kodeksu postępowania cywilnego wskazują na ułatwienia dowodowe w takich sporach.
Rzeczywiście, projektowane przepisy przewidują ułatwienia dowodowe, w tym wyjawienie lub wydanie środka dowodowego oraz szczególne rozwiązanie dla spraw nadmiernie utrudnionych dowodowo ze względu na techniczną albo naukową złożoność. Sąd będzie mógł uznać za ustalone, że produkt jest niebezpieczny albo że szkoda została wyrządzona w następstwie jego niebezpiecznych właściwości, jeżeli powód uprawdopodobni te fakty. Ma to znaczenie zwłaszcza przy produktach wykorzystujących AI, ale nie oznacza automatycznego uwzględniania roszczeń. Powód nadal musi uprawdopodobnić, że produkt jest niebezpieczny, albo że szkoda została wyrządzona w następstwie jego niebezpiecznych właściwości, a sąd musi ocenić, czy udowodnienie tych faktów jest nadmiernie utrudnione, w szczególności ze względu na techniczną bądź naukową złożoność spraw.
Problemem w tej dziedzinie jest m.in. to, w jakim zakresie za wadliwość oprogramowania odpowiada jego twórca, dystrybutor, czy użytkownik oferujący na tej bazie swoje usługi. To się zmieni?
Owszem, ale istotne pytania powstaną na przykład w relacji między dyrektywą 2024/2853 w sprawie odpowiedzialności za produkty wadliwe i przepisami ją wdrażającymi a aktem o usługach cyfrowych (AUC). Operator platformy internetowej nie będzie odpowiadał za każdy produkt oferowany przez zewnętrznego przedsiębiorcę. Jego odpowiedzialność może jednak powstać wtedy, gdy sposób przedstawienia informacji lub umożliwienia zawarcia transakcji może u przeciętnego konsumenta wzbudzać przekonanie, że produkt jest dostarczany przez samego operatora albo przez podmiot działający z jego upoważnienia lub pod jego kontrolą. Tak jak w przypadku dystrybutora, odpowiedzialność ta ma charakter subsydiarny: wymaga, aby poszkodowany nie mógł ustalić producenta albo innych właściwych podmiotów z siedzibą lub miejscem zamieszkania w Unii Europejskiej, a wezwany operator nie wskazał ich w ustawowym terminie. W praktyce sporne może być, czy takie znaczenie powinny mieć np. sposób oznaczenia sprzedawcy, obsługa płatności, gwarancje, logistyka albo komunikacja z klientem. Projektowane przepisy nie obejmą też każdej szkody związanej z technologią cyfrową. Dotyczą szkody na osobie, określonych szkód w mieniu oraz zniszczenia lub uszkodzenia danych. Poza tym zakresem pozostaną co do zasady naruszenie prywatności, dyskryminacja, samo ujawnienie lub przejęcie danych oraz czysta szkoda majątkowa.
Co te proponowane zmiany będą oznaczać dla firm wytwarzających oprogramowania?
Z perspektywy przedsiębiorców, którzy chcą się już teraz przygotować do stosowania nowych przepisów oznacza to większe znaczenie dokumentacji bezpieczeństwa produktu, polityki aktualizacji i modernizacji, zarządzania składnikami produktu, cyberbezpieczeństwa, ról w łańcuchu dostaw oraz sposobu przedstawiania produktów na platformach internetowych.
Czytaj także: Mateusz Kupiec: Są sposoby na weryfikację wieku użytkowników internetu>>
