Magdalena Melke: 11 maja na posiedzeniu Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych (LIBE) oraz Komisji Rynku Wewnętrznego i Ochrony Konsumentów (IMCO) przyjęto 13 zgłoszonych poprawek do AI Act, ustawy o sztucznej inteligencji, mającej stać się pierwszym prawem na świecie regulującym kompleksowo problemy związane z tą dziedziną nowych technologii.
Czym jest AI Act i w jaki sposób ma zostać wprowadzone?
Filip Konopczyński: AI Act ma mieć formę rozporządzenia. Regulacje w odniesieniu do tak dużego rynku jak europejski mają największy sens wtedy, kiedy są możliwie spójne. Akt będzie obowiązywał bezpośrednio w całej Unii, ale niezbędne będzie także przyjęcie przez państwa członkowskie aktów prawa krajowego, mające za zadanie w ten lub inny sposób je wdrożyć. Chodzi m.in. o powołanie specjalnych instytucji odpowiedzialnych za nadzór sztucznej inteligencji w każdym z krajów UE.
Myślę, że wybór formy prawnej – rozporządzenia- to także efekt refleksji związanych z wprowadzeniem RODO, które pomimo wielu zalet, niestety posiada również wady. Przykładowo, implementowanie podobnych przepisów na poziomie państw członkowskich w różnej interpretacji doprowadziło do tego, że o tym, jakie prawo de facto mają użytkownicy mediów społecznościowych w Polsce, decyduje np. Urząd Ochrony Danych Osobowych w Irlandii. W przypadku AI Act założenia działania wyglądają inaczej – to Komisja Europejska ma być centralną instytucją, a powołany przy udziale państw członkowskich Urząd ds. AI będzie zobowiązany ją w tym wspierać. Można to potraktować jako rozporządzenie, które razem z m.in. Aktem o Usługach Cyfrowych i Aktem o Rynkach Cyfrowych zwiastujące nową generacji.
Jakie są główne powody i cele wprowadzenia AI Act w UE?
Nieco przewrotnie można powiedzieć, iż jego obecne przeznaczenie różni się od tego, które było prezentowane przez Komisję w 2021 r. Droga, którą przeszedł akt o sztucznej inteligencji, świadczy o pewnej zmianie sposobu myślenia – zarówno w kontekście praktycznych zmian w projekcie, jak i polityki otaczającej samą koncepcję sztucznej inteligencji. Jeszcze 2 lata temu traktowano AI Act jako regulację w dużej mierze techniczną, o której rozmawiali przede wszystkim ludzie interesujący się innowacjami, związani albo z sektorem badawczym czy start-upów. Począwszy od listopada zeszłego roku wiemy, że temat AI jest w stanie zainteresować znacznie więcej osób.
Często mówi się, że prawo nie nadąża za technologią. Do tej pory, również w tym wypadku, była to prawda, jednak zaobserwować pewne pozytywne efekty wspomnianego “nienadążania”. Gdybyśmy, w tempie ekspresowym, przyjęli np. 1,5 roku temu akt o sztucznej inteligencji, to byłaby duża szansa na to, że nie odpowiadałby on potrzebom czasu. Teraz jesteśmy mądrzejsi i pewna zmiana sposobu myślenia o tej technologii jest już widoczna.
Czy wskazałbyś na jedno, konkretne wydarzenie, które zmieniło sposób patrzenia na AI z czysto technicznego na szerszy?
Chcąc wskazać jedno wydarzenie, to najpierw stworzenie, a następnie oddanie do szerokiego użytku ChatGPT od Open AI. Zdecydowanie był to ten moment, który zmienił dyskusję o sztucznej inteligencji. Bardziej precyzyjnie należałoby powiedzieć, że to efekt szeregu procesów i zmiany technologiczno-naukowej w ostatnich latach, kiedy zaczęły być tworzone nowoczesne systemy AI, oparte na dużych modelach językowych, z wykorzystaniem sieci neuronowych, o ogromnych mocach obliczeniowych.
Szybko dostrzegli to również politycy. Od momentu, kiedy ChatGPT stał się najszybciej ściąganą aplikacją w historii Internetu, europejscy legislatorzy i europosłowie zrozumieli wagę aktu prawnego i dotyczącej go technologii. Ponadto zorientowano się, że jest to doskonała okazja do przypomnienia o europejskich wartościach, do pokazania, że także w sensie globalnym Europa ma znaczenie i jest przestrzenią, w której urzędnicy są w stanie w dojrzały sposób przyjrzeć się najnowszej technologii – nie tylko z punktu widzenia tej czy innej grupy biznesowej, lecz także z punktu widzenia interesu obywateli. Sieć EDRi, do której należy Panoptykon walczy na poziomie unijnym, aby te zmiany ugruntować w ostatecznej treści Aktu.
W jaki sposób AI Act kategoryzuje dozwolone i niedozwolone praktyki związane z wykorzystywaniem sztucznej inteligencji?
Akt o sztucznej inteligencji od początku charakteryzuje podejście oparte na logice ryzyka. Regulacja wyszczególnia kilka grup systemów AI, klasyfikując je ze względu na poziom zagrożeń, z jakimi wiąże się ich wprowadzenie.
Pierwsza grupa to tzw. zakazane (prohibited) zastosowania AI (art. 5). Należą do nich systemy, które mają być na europejskim rynku całkowicie zabronione. Na szczęście istniały praktyki, które praktycznie od początku negocjacji traktowane były jako coś, czego w Europie po prostu nie chcemy. Mam tutaj na myśli m.in. systemy, które w celowy sposób tworzą podprogowe, manipulacyjne treści, wykorzystując nasze indywidualne oraz grupowe skłonności do pewnych zachowań. Innym przykładem są systemy tworzące ogromne bazy danych twarzy, pozwalające na identyfikację ludzi w oparciu o informacje pozyskane bezpośrednio z mediów społecznościowych, Internetu czy monitoringu wizyjnego. Na tej zasadzie działa m.in. amerykański system Clear View AI. Jednym z intencji AI Act jest to, żeby tego typu zastosowanie sztucznej inteligencji było w Europie zakazane.
Czy Clear View jest wykorzystywane w USA?
To amerykańska innowacja, która według doniesień mediów była stosowana przez policję w USA w którym ochrona prywatności nie jest tak mocna, jak w Europie już ponad milion razy do wyszukiwania potencjalnych przestępców. Do listy praktyk zakazanych od początku wpisano także tzw. systemy kredytu społecznego, czyli stosowane w Chinach budzące skojarzenia z dystopiami mechanizmy nadzorowania, karania i nagradzania obywateli. Warto zaznaczyć, że (wciąż) nie istnieje w tym kraju jeden kredyt systemu społecznego, ale tego typu rozwiązania są stosowane na poziomie regionalnym. To działa na wyobraźnię – nikt z nas nie chciałby, żeby np. rata kredytu była obliczana ze względu na to, jak często kupujemy produkty, które rząd uznaje za niezdrowe albo czy przechodzimy na zielonym świetle.
Nie wszystkie obszary, które znalazły się w przyjętej przez komisje IMCO i LIBE wersji art. 5, spotkały się z tak jednoznaczą reakcją. Przykładowo, kwestia zakazu identyfikacji biometrycznej w miejscach dostępnych publicznie do dziś budzi u niektórych kontrowersje, co nas niepokoi, bo to technologia, która mocno ingeruje w prywatność zwykłych ludzi. Część polityków, także z największych grup, była przeciwna zakazowi bądź wstrzymała się od głosu. Prawdopodobnie mamy do czynienia z presją, którą na polityków w różnych krajach wywierają przedstawiciele służb specjalnych czy sektora bezpieczeństwa.
Druga istotna dla AI Act kategoria systemów to tzw. AI wysokiego ryzyka. To, co według legislatorów ma je charakteryzować to to, że w ściśle określonych i poddanych jasno określonym zabezpieczeniom przypadkach użycia mogą być użyteczne. Jednak, jeśli te same systemy działają w sposób niekontrolowany, mogą wywołać poważne, groźne konsekwencje, zarówno na poziomie indywidualnym, jak i społecznym. Artykuł 6, który zawiera przepisy o systemach wysokiego ryzyka był i jest przedmiotem kontrowersji, zarówno jeżeli chodzi o listę obszarów, jak i mechanizm, na podstawie którego będą one klasyfikowane.
Do kategorii wysokiego ryzyka należeć mają określone, ważne strategicznie lub wrażliwe obszary, jak chociażby technologie medyczne czy zabawki Druga grupa systemów wysokiego ryzyka jest od strony prawnej bardziej skomplikowana. O tym czy dany system traktowany jest jako system ryzykowny decyduje dwuskładnikowa procedura. Po pierwsze, dany system musi działać w jednym z określonych obszarów, np. w systemie zwalczania przestępczości, edukacji, na rynku pracy, kontroli granic czy sądownictwie i systemie wyborczym. Po drugie – i Fundacja Panoptykon widzi duży problem – dany system musi być oceniony jako mogący potencjalnie powodować “znaczące szkody” dla praw podstawowych czy zdrowia. Co oznacza znaczący ma w późniejszym czasie określić komisja, natomiast sama logika, według której negatywne działanie systemów AI musi być “znaczące”, aby producent czy instytucja taki system wdrażająca musiały poddać go odpowiednim procedurom może być furtką, aby takich ograniczeń unikać.
Tym, co jest charakterystyczne dla AI Act, i co nam, jako europejskim organizacjom broniącym interesu obywateli czy praw podstawowych udało się wprowadzić, było uzupełnienie projektu o mechanizm oceny ryzyka danego programu dla praw podstawowych ludzi (tzw. fundamental rights impact assessment). Firma, która będzie chciała wypuścić na rynek system sztucznej inteligencji spełniający kryteria wysokiego ryzyka, będzie musiała dokonać oceny tego, w jaki sposób systemy te będą wpływać na prawa podstawowe, a w przypadku np. systemów zarządzających energetyką, także środowisko. Taka procedura będzie najprawdopodobniej możliwa do wykonania w ramach tej samej firmy lub z udziałem wyspecjalizowanego podmiotu trzeciego . Jej celem jest zobowiązanie firmy czy instytucji do wypełnienia odpowiednich dokumentów oraz przekazania ich do unijnego lub krajowego organu nadzorującego sektor AI. Jeżeli firma będzie działała w dwóch lub więcej krajach, będzie zmuszona do składania dokumentacji do Komisji Europejskiej, która umieści podstawowe informacje o systemie w specjalnym, dostępnym publicznie rejestrze. Takim samym wymogom podlegać mają systemy AI używane przez instytucje publiczne.
Warto podkreślić, że AI Act ma zastosowanie w przypadku produktów, które są wprowadzane na rynek – nie w obszarze rozwoju naukowego, nie w obszarze obronności. Z tego powodu wszelkie dotyczące rzekomego blokowania przez AI Act wstrzymywania badań nad sztuczną inteligencją czy ograniczającą potencjał militarny Europy są nieprawdziwe.
Powstaje pytanie, kto będzie sprawdzał powstałe obostrzenia i w jakim zakresie za przestrzeganie ustalonych reguł będą odpowiedzialne poszczególne firmy i instytucje publiczne. Wspomniałeś już, że firmy międzynarodowe będą zobowiązane do składania dokumentacji do Komisji Europejskiej.
Duże firmy (tzw. gatekeepers) w rozumieniu Aktu o Rynkach cyfrowych oraz instytucje publiczne stosujące systemy wysokiego ryzyka “z automatu” będą musiały publikować w unijnej bazie danych podstawowe informacje o wykorzystaniu systemów wysokiego ryzyka, i zostaną objęte podwyższonym poziomem wymogów formalnych (w ramach oceny skutków dla praw podstawowych).
Czyli do Komisji Europejskiej.
Tak, “strażnicy dostępu” (czyli firmy z silną pozycją rynkową) oraz instytucje publiczne stosujące systemy wysokiego ryzyka muszą znaleźć się na centralnej liście, prowadzonej przez Komisję, we współpracy z AI Office. Inne firmy będą mogły to robić dobrowolnie. Ma to zapewnić podstawowy, otwarty dostęp do informacji o systemach, które są przez nie używane. Dzięki temu będziemy mieli prawo wiedzieć, kiedy instytucja publiczna będzie korzystać z systemów AI np. w wymiarze sprawiedliwości, jakie są jego cele i podstawowe parametry. Organizacje społeczne chciałyby natomiast, aby taki obowiązek obejmował wszystkie systemy wysokiego ryzyka, niezależnie od tego, jaki podmiot jest wykorzystuje.
Można wymienić dwie kolejne kategorie systemów, które tworzy AI Act. Pierwsza z nich to technologie tzw. ograniczonego ryzyka.Ma ona dotyczyć chatbotów oraz systemów opartych na tzw. generatywnej sztucznej inteligencji, pozwalającej np. na tworzenie treści, obrazów, czy wideo. Chodzi o to, aby istniał obowiązek informowania użytkowników, że wchodzą w kontakt z systemem AI.
Na ostatnim etapie prac nad AI Act wprowadzono także zestaw przepisów, który odnosi się do tzw. modeli podstawowych (foundation models), czyli technologii będącej efektem ostatniej, głośnej “rewolucji” w AI. Stanowi to próbę ujęcia specyfiki programów takich jak ChatGPT, czyli systemów działających w oparciu o trenowane na ogromnych zbiorach danych dużych modelach językowych.
Sednem proponowanych przepisów jest odpowiednie rozdzielenie obowiązków twórców systemów, developerów oraz podmiotów, które będą je wdrażać. Z jednej strony pewne obowiązki przypisano ich twórcom – przede wszystkim mowa o obowiązkach informacyjnych, polegających na umieszczaniu specyfikacji takich modeli w centralnej bazie danych, przekazywania specyfikacji technicznej kontrahentom, odpowiednich standardów budowania baz danych, na których są “trenowane” czy prowadzenia pogłębionej ewidencji danych technicznych. Z kolei podmioty, które będą je wdrażać będą musiały przestrzegać konkretnych przepisów w zależności od tego, czy system AI będzie używany np. w obszarze wysokiego ryzyka czy nie. W tym drugim wypadku nie będzie to wiązać się z nałożeniem specjalnych obowiązków.
Warto podkreślić, że fakt, że najwięcej mówimy o praktykach zakazanych i wysokiego nie oznacza, że będzie ich na rynku najwięcej. Takie wrażenie można odnieść, bo w procesie tworzenia prawa powinniśmy przewidywać potencjalne zagrożenia i szukać rozwiązań, które mogą je ograniczyć lub wyeliminować. W praktyce większość systemów AI nie będzie objęta tymi przepisami.
Filozofia AI Act zakłada, że Komisja będzie miała prawo uzupełniać i modyfikować listę systemów wysokiego ryzyka. Jeżeli okazałoby się, że o jakimś systemie zapomniano, a powinien być objęty wyższymi wymogami, to będzie można go dopisać (do Aneksu III). Z drugiej strony, jeśli jakiś system okazałby się bezpieczny, będzie można go z tej listy zdjąć. To sensowny kierunek, ponieważ pozwala zabezpieczyć się na przyszłość i uelastycznić stosowanie nowego prawa.
Wydaje się, że wokół AI Act narosło przekonanie (przynajmniej częściowo), dotyczące ograniczenia rozwoju sztucznej inteligencji na rynku europejskim. Czy rzeczywiście istnieje takie ryzyko i czy zadbano o to, abyśmy jako Europa nie zostali „w tyle” wyścigu technologicznego wobec Chin czy USA? Czy wręcz paradoksalnie AI Act ma szansę uatrakcyjnić rynek AI w UE?
Kiedy 2 lata temu Komisja Europejska zaprezentowała pierwszą wersję projektu (zawierającą wymogi mniejsze niż w obecnej wersji), głosy z części środowisk biznesowych mówiły, że w ogóle nie należy regulować obszaru sztucznej inteligencji. Argument był standardowy: takie regulacje blokują innowacje. Minęły blisko 2 lata, a takie głosy dużego czy małego biznesu są już praktycznie nieobecne. Widać więc dużą zmianę. Mam nadzieję, że jest ona szczera i wynika z : przedstawiciele biznesu są ludźmi, mają dzieci, zmagają się z problemami zdrowotnymi, cenią swoją prywatność i też mogą bać się patologicznych zastosowań.
Czy zmiana narracji głosów w biznesie dotyczy również największych, międzynarodowych korporacji?
Wielkie, międzynarodowe korporacje, działają dwutorowo. Z jednej strony – tutaj mam na myśli m.in. Microsoft czy Google – były zaangażowane w rozwijanie procedur w oparciu o normy etyczne, budowanie odpowiedzialnej sztucznej inteligencji, programów projektowanych z myślą o dobru użytkowników. Równolegle wydawały ogromne pieniądze na zaawansowane, wielowątkowe działania lobbingowe dążące do tego, by AI Act nakładał na nie jak najmniejsze i najmniej kosztowne wymogi. Niestety, wydaje się to świadczyć to o systemowej hipokryzji. To zamożne i ogromne pod względem zatrudnienia firmy, których rola w rozwoju technologiczno-cywilizacyjnym jest w wielu obszarach kluczowa. Dlatego mamy prawo wymagać od nich odpowiedzialnego i uczciwego podejścia do rozwijanych produktów i usług.
W procesie negocjacji AI Act, ChatGPT odegrał specyficzną rolę. Obok ogromnej popularności, wielu ludzi się przestraszyło negatywnych konsekwencji – często słusznie.
Czy regulacje mogą zabić innowacyjność? W teorii oczywiście tak, można wyobrazić sobie mordercze, niemądre przepisy i wymogi, których nikt nie będzie w stanie spełnić. Natomiast w praktyce, jeżeli twierdzenie, że większa ilość regulacji blokuje biznes jest poprawne, to prawdą powinno być również to, że brak regulacji jest dla biznesu z zasady dobry. Obecnie nie mamy europejskiej regulacji dot. sztucznej inteligencji i według tej logiki Europa powinna być światowym liderem w biznesowych zastosowaniach AI.
Wiemy, że tak nie jest, to nie regulacje wstrzymują rozwój. Problem istnieje się na poziomie inwestycyjnym i finansowym. Europejski biznes nie chce inwestować w innowacje oparte na AI, a państwa na wsparcie sektora wydają zdecydowanie za mało. Dotyczy to zresztą całego sektora B+R. Przykładowo, Polska przeznacza niewiele na badania i rozwój, znacząco poniżej tego, co powinniśmy wydawać, żeby plasować się na poziomie średniej unijnej.
Drugi problem to także struktura nakładów na badania i rozwój. W Unii jest ona rozdrobniona, stanowimy konglomerat wielu średnich bądź małych państw, a bez wspólnego, dużego budżetu na badania i rozwój nie będziemy w stanie osiągnąć pozycji światowego lidera. Niestety, na to się nie zanosi, bo wymagałoby zwiększenia nakładów Państw do budżetu UE ponad to, co obecnie pozwala m.in. na finansowanie programów takich jak Horyzont Europa. Badania nad AI są drogie, podobnie jak koszt utrzymania systemów -wg. szacunków Open AI na obsługę GPT ok. 100 000 dolarów dziennie. To gigantyczne pieniądze, których z różnych powodów jako Europejczycy nie chcemy płacić.
Co w takim wypadku powinniśmy zrobić, aby to u nas powstawały technologie i innowacje SI?
Nie da się osiągnąć wielkiej innowacyjności samą regulacją, nawet najlepszą. Jedyne, co możemy w tej sytuacji na zrobić, to inwestować w edukację, rozwój i znacznie większe fundusze dostępne dla firm, uczelni, centrów badawczych. Musimy apelować do przedstawicieli biznesu, przedstawicieli funduszy kapitałowych oraz przedstawicieli instytucji publicznych, aby na poważnie podchodzili do wspierania europejskich innowacji.
Z drugiej strony, trzeba zastanowić się, co jako Europa realnie możemy w tej sytuacji zrobić. Największy atut UE to istnienie jednolitego, dużego rynku, w którym uczestniczy kilkaset milionów ludzi, statystycznie zamożnych. Jak mogliśmy zaobserwować w przypadku RODO, ten mechanizm wymuszania pewnych standardów pod groźbą utraty dostępu do klientów z UE po prostu działa. Jeżeli firma jest zainteresowana dostępem do tak dużej liczby konsumentów, musi spełnić określone wymogi. Oczywiście, jest to trudniejsze w przypadku mniejszych przedsiębiorstw, ale w takiej sytuacji powinniśmy je w tym wspierać, a nie obniżać czy eliminować standardy. AI Act wygeneruje pewne koszty (np. związane z procedurami compliance), dlatego powinniśmy zastanowić się nad stworzeniem mechanizmów finansowych lub organizacyjnych, dedykowanych małym firmom i innowatorom. Moim zdaniem jest to lepsze i dużo mądrzejsze rozwiązanie: zarówno z punktu widzenia biznesu jak i ochrony praw człowieka.
Pamiętajmy, że AI Act nie jest dzieckiem krytycznej refleksji radykalnych aktywistów i organizacji pozarządowych. To regulacja, która powstała w celu zachęcania biznesu do rozwijania badań i wdrożeń AI. Spora część Aktu poświęcona jest tzw. sandboxom, czyli przestrzeniom regulacyjnym, w których można bezpiecznie eksperymentować i testować, ,dany model, system lub program AI., jeszcze przed koniecznością spełnienia wszystkich wymogów. Ścieżek do przetestowania i sprawdzenia systemu jest więc dużo. Jednak jeżeli nie będziemy wydawali takich pieniędzy jak Amerykanie czy Chińczycy, to wiara w sukcesy europejskiego AI będzie myśleniem magicznym.
Czyli problem nie leży po stronie regulacji, a duża odpowiedzialność leży po stronie samego biznesu. Na którym miejscu światowym znajduje się UE jeżeli chodzi o rynek AI?
Pod względem badawczym (publikacje, cytowania) wg AI Index Stanfordu ścigamy się z USA, ustępując miejsca jedynie Chinom. Pod względem wdrożeń biznesowych jest znacznie gorzej, przewaga Waszyngtonu i Pekinu jest wyraźna.
Jakie są realne szanse na to, że AI Act zostanie zaimplementowany przez resztę świata? Bardzo często jest on porównywany z RODO.
W ostatnich latach mówi się o tzw. efekcie Brukseli – normy, które teoretycznie obowiązują tylko na terytorium europejskim “promieniują” na resztę świata. To zrozumiałe: dla firmy, która chce być obecna w Europie kalkuluje się wprowadzać jeden system prawno-organizacyjny, przez co często na poziomie biznesowym i technicznym standardy przygotowane pod kątem Europejczyków wykorzystywane są też w odniesieniu do innych rynków czy klientów.
Należy pamiętać, że AI Act to regulacja skierowana do przedsiębiorców i instytucji, które chcą wdrażać systemy AI. RODO dało Europejczykom pakiet uprawnień i dziś jako obywatele mamy m.in. prawo do zapomnienia, do uzyskania wglądu w swoje dane i ich przenoszenia itd. W przypadku AI Act mechanizmy zwiększające uprawnienia obywateli takie jak prawo do odwołania się od decyzji systemu AI, która nas dotyczy (wpierw do organu nadzorującego obszar AI, a potem do krajowego sądu) czy prawo do wyjaśnienia decyzji w przypadku systemów wysokiego ryzyka zostały włączone dopiero na etapie poprawek Parlamentu Europejskiego. Niestety, wielu ważnych uprawnień wciąż w projekcie Aktu wciąż nie ma. Chodzi m.in. o prawo do bycia poinformowanym o użyciu wobec nas systemów AI czy uprawnienia dla organizacji społecznych do reprezentowania osób nimi dotkniętych. W tym sensie “moc” AI Act może okazać się mniejsza niż w przypadku RODO, co jest niedobre dla nas zarówno jako obywateli jak i konsumentów. Organizacje takie jak Panoptykon będą dalej zabiegać, aby tę sytuację zmienić.
Dziękuję bardzo za rozmowę.
Dziękuję!
UL. MARSZAŁKOWSKA 84/92 LOK. 115
00-514 WARSZAWA 
Komentarzy 1