Utworzenie odpowiedniego środowiska prawnego dla sztucznej inteligencji jako priorytet. Komisja Europejska oraz unijni nadzorcy wytyczają priorytety dla AI. Część 1.

Kilka dni temu Europejski Urząd Nadzoru Bankowego wraz z pozostałymi organami nadzoru (ESMA, EIOPA) opublikował dokument „2020 Work Programme of the Joint Committee of the European Supervisory Authorities”. Jest to dokument, który wyznacza priorytety realizowane w kolejny roku. Jednym z priorytetów tam zawartych jest analiza wykorzystania sztucznej inteligencji w sektorze finansowym i ewentualnych zagrożeń związanych z ochroną konsumentów. W ramach wspólnych prac nadzorcy skupia się m.in. na analizie ryzyk oraz identyfikacji luk regulacyjnych i nadzorczych, które są niezbędne, aby zrealizować postulaty w zakresie tworzenia „Trustworthy AI” określone w tym dokumencie opracowanym przez grupę powołaną przez Komisję Europejską. Aby to osiągnąć należy zacząć jednak od stworzenia odpowiedniego otoczenia regulacyjnego dla wykorzystania sztucznej inteligencji. Wskazówki jak to zrobić znalazły się m.in. w czerwcowym dokumencie tej samej grupy „Policy and investment recommendations for trustworthy Artificial Intelligence”. Na nim się skupię w dzisiejszym artykule. Zaczynamy!

Zainteresowanych poszerzeniem wiedzy w zakresie strategii Polski w zakresie sztucznej inteligencji (również w aspekcie) zachęcam do przeczytania tego artykułu oraz moich przemyśleń na temat osobowości prawnej AI (klik).

Podstawowe zasady

Stworzenie odpowiednich warunków (w tym prawnych) dla rozwoju sztucznej inteligencji nie jest zadaniem łatwym. Ponieważ jest to zasadniczo nowa dziedzina (choć jej początki datuje się na lata 50te), a z drugiej strony jej rozwój nabrał niesamowitego tempa, istnieje ryzyko, że niewłaściwe rozwiązania zahamują jej wzrost. Aby stworzyć takie warunki należy pamiętać o kilku istotnych aspektach:

Takie otoczenie prawne musi wspierać społeczne korzyści jakie AI może przynosić;
Musi ono zapewniać poszanowanie praw podstawowych oraz
Respektować zasadę praworządności i demokracji.

Innymi słowy należy zapewnić równowagę pomiędzy korzyściami z wykorzystania AI a potencjalnymi zagrożeniami dla społeczeństwa (np. nieuprawnione wykorzystanie danych biometrycznych). Podstawą powinno być więc tworzenie takiej sztucznej inteligencji, która jest:

Praworządna i legalna (a więc realizująca prawnie dozwolone zadania i cele);
Etyczna (cel nie uświęca środków) oraz
Solidna (algorytmy powinny być tworzone z poszanowaniem dobrych praktyk i z należytą starannością).

Wyjście od tych podstawowych zasad jest warunkiem, że jako społeczeństwo osiągniemy maksymalne korzyści z automatyzacji i efektywności, którą przynosi wykorzystanie sztucznej inteligencji (nie tylko w sektorze finansowym, ale w ogóle).

Podejście oparte na ryzyku

Żeby je zastosować należy zacząć od identyfikacji, analizy i „ważenia” określonych ryzyk związanych z wykorzystaniem sztucznej inteligencji. To na co zwraca uwagę grupa przy Komisji, to uwzględnienie różnych poziomów ryzyka w odniesieniu do AI. Im wyższy poziom negatywnych konsekwencji ryzyka związanego z AI, tym silniejsza powinna być reakcja prawodawcy. Jeżeli więc dostrzegamy potencjalne zagrożenia dla ochrony konsumentów, to tym silniejsza powinna być ochrona przed tymi zagrożeniami. Dobrym przykładem jest tutaj art. 105a ust. 1a Prawa bankowego (więcej na ten temat w tym artykule), który daje klientom banków prawo do uzyskania informacji odnośnie podstaw oceny zdolności kredytowej z użyciem AI, jak również żądania interwencji ludzkiej.

Nieakceptowalne ryzyka

Może się zdarzyć i tak, że ryzyko związane z wykorzystaniem AI jest nieakceptowalne np. ze względu na istotne zagrożenia dla środowiska, zdrowia ludzkiego czy społeczeństwa (w szczególności procesu demokratycznego). Taka sytuacja może mieć np. miejsce w przypadku wykorzystania dużych zbiorów danych dotyczących określonej grupy społecznej i tworzenia „agresywnych” kampanii, np. reklamowych czy propagandowych, dających znaczną przewagę nad konkurentami. W takiej sytuacji prawodawcy powinni podejmować odpowiednie i uprzednie działania, aby te ryzyka nie miały szansy się zmaterializować.

W tym kontekście warto zwrócić również uwagę na kwestię dotyczącą autonomiczności AI, tj. czy sztuczna inteligencja rzeczywiście jest samodzielna i może przykładowo ponosić odpowiedzialność czy też jest bardziej źródłem informacji lub pełni funkcję wspierającą. Przyjęcie określonego podejścia będzie miało doniosłe znaczenie dla dalszego kierunku prac legislacyjnych (które to prace powinny być oparte na bardzo rozważnym i analitycznym podejściu).

Jakie powinno być prawodawstwo dla AI?

Elastyczne. Stan wiedzy na temat „autonomiczności” AI oraz funkcjonowania ludzkiego mózgu nie pozwala raczej na jednoznaczne wyznaczenie statusu sztucznej inteligencji i jej miejsca w świecie. Z tego względu grupa przy Komisji zwraca uwagę na konieczność ograniczania nadmiernie sztywnych norm prawnych. Otoczenie technologiczne zmienia się obecnie tak dynamicznie, że bardziej pożądane jest monitorowanie tych zmian i reagowanie w formie „miękkiego” prawa, np. poprzez wytyczne, opinie czy polityki, aniżeli tworzenie sztywnych regulacji, które w przyszłości mogą być trudne do „odwrócenia”.

Pokrywa się to z podejściem wyrażonym w Strategii Rozwoju Sztucznej Inteligencji, która stawia na definicje techniczne a nie prawne.

Ocena obszarów krytycznych

W dokumencie wskazuje się na konieczność „zmapowania” całego prawodawstwa, które może mieć znaczenie dla rozwoju sztucznej inteligencji i podjęcie interwencji tam gdzie to konieczne (bazując na analizie cost-benefit). Zwrócono uwagę na wiele obszarów, które mają znaczenie, ja jednak wybrałem tylko te które wydają mi się najistotniejsze z punktu widzenia sektora finansowego.

Odpowiedzialność cywilna

To temat na który już wskazywałem. Stworzenie odpowiednich zasad odpowiedzialności (w Polsce postuluje się odpowiedzialność za produkt niebezpieczny zgodnie z art. 449(1) Kodeksu cywilnego) będzie warunkowało możliwość szerszego (lub węższego) wykorzystania AI, a także może przyczynić się do poprawy jakości działania algorytmów (skoro deweloper będzie brał odpowiedzialność za algorytm, to pewnie bardziej się „przyłoży”).

Postuluje się tutaj także wprowadzenie odpowiednich zasad w zakresie audytowania algorytmów (np. przez regulatorów) czy też zapewnianie możliwości interwencji ludzkiej, jeżeli AI samodzielnie podejmuje decyzje. W konsekwencji powinniśmy mieć takie otoczenie regulacyjne, które da pewność kto odpowiada za działanie algorytmu (a może sam algorytm?).

Ochrona konsumentów

To również bardzo ważna kwestia. O ile w przypadku klientów profesjonalnych można przyjąć nieco łagodniejsze wymagania (np. na potrzeby pakietu MiFID2, w tym Rozporządzenia 2017/565). Skupić się należy w tym miejscu na czynach mogących stanowić naruszenie zbiorowych interesów konsumentów, ale także kwestiach takich jak wykorzystanie chatbotów, które przekazywać mogą niepełne lub nieprawdziwe informacje.

Ochrona danych osobowych

Jest to niezwykle istotna kwestia (nieco więcej na ten temat tutaj). Ważne jest dokonania odpowiedniego przeglądu regulacji pod kątem możliwości wykorzystania danych osobowych przez zautomatyzowane rozwiązania (np. dyskusyjne jest wykorzystanie danych biometrycznych na potrzeby oceny zdolności kredytowej). Istotnym elementem będzie również zapewnienie wysokiego poziomu transparencji, tj. informowania użytkowników, że ich dane przetwarzane są nie przez człowieka a algorytm.

Cyberbezpieczeństwo i „zdrowa” konkurencja

Po pierwsze należy dokonać oceny czy przepisy z zakresu cyberbezpieczeństwa są dostosowane do nowych wyzwań związanych z wykorzystaniem sztucznej inteligencji.

Po drugie, na co zwracały uwagę już takie instytucje jak Bank Rozliczeń Międzynarodowych (zachęcam do przeczytania tego artykułu), wykorzystanie dużych zbiorów danych (w tym stanowiących dane osobowe) połączonych ze zautomatyzowanymi rozwiązaniami może dawać nieuzasadnioną przewagę. Taka sytuacja może mieć miejsce w przypadku wejścia BigTechów na rynek finansowy (potencjalna – ogromna – baza klientów już jest). Z tego względu przy procesie licencyjnym należy uwzględniać również te aspekty.

Co w kolejnym artykule?

Przybliżę aspekty instytucjonalne nowych regulacji dla AI oraz wskażę na inne zagrożenia.

Flash News

Europejski Urząd Nadzoru Bankowego o platformach w sektorze finansowym. Idzie nowe, a chyba nie wszyscy są gotowi

Etyka i uprzedzenie, czyli algorytmy korporacji przewozowych w praktyce

Zmiany do Rozporządzenia 2015/847 w sprawie transferu środków są znaczące. Szczególnie dla fanów kryptoaktywów

Open Banking “pod” PSD2 nadal sprawia trudności. EBA publikuje kolejne wyjaśnienia

Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem rozwoju rynku finansowego oraz ochrony inwestorów na tym rynku

Wytyczne BaFin w sprawie sztucznej inteligencji dla sektora finansowego. Dobry przykład, dobre praktyki

Z kim pójdziesz na randkę? Czy algorytm zadecyduje za Ciebie?

To instytucje finansowe i dostawcy RegTech muszą “popracować nad sobą”, czyli raport EBA w sprawie rozwiązań RegTech. Są i rekomendacje

Emitent kryptoaktywów jest administratorem danych. Europejski Inspektor Ochrony Danych o projekcie w sprawie kryptoaktów (MICA)

EBA bierze się za obniżenie kosztów nadzorczych. Duży nacisk na technologię RegTech oraz SupTech