AI: Parlament Europejski przyjmuje 3 rezolucje w sprawie sztucznej inteligencji. Co tam znajdziemy?

W zeszłym tygodniu Parlament Europejski przyjął trzy rezolucje odnoszące się do sztucznej inteligencji, które pokazują, że AI przestaje być już tylko science-fiction, a – przynajmniej w sensie prawnym – wchodzi do mainstreamu. Choć rezolucje nie mają jeszcze mocy obowiązującej, to wyraźnie pokazują jakie jest stanowisko prawodawcy (choć razem z Radą) i w którym kierunku prawdopodobnie podążać będzie też Komisja (UE) ze swoimi propozycjami. Nowe stanowiska Parlamentu dotyczą trzech obszarów: etyki AI, odpowiedzialności cywilnej za AI oraz tych aspektów sztucznej inteligencji, które odnoszą się do kwestii własności intelektualnej. Spójrzmy na to jak brukselscy posłowie zapatrują się na te zagadnienia.

Od razu zaznaczam, że nie da się w jednym artykule zmieścić wszystkich zagadnień tam poruszanych, więc będę w tej kwestii wybiórczy i subiektywny. Zainteresowanych poszerzeniem wiedzy przynajmniej w dwóch pierwszych aspektach zachęcam do przejrzenia tego linku. Temat będziemy „wałkować” przez kilka najbliższych tygodni, chyba że Komisja (UE) zaskoczy nas już gotowymi rozwiązaniami.

Zacznijmy od etyki

Ten temat pojawił się ostatnio w kontekście konkluzji Rady (UE), więc jak widać jest to temat, który może budzić emocje. W dużym uproszczeniu Parlament zakłada, że powinniśmy wyodrębnić dwa reżimy prawne dla AI. Pierwszy dla “normalnej” sztucznej inteligencji, gdzie wymogiem jest m.in. oparcie rozwiązań o tzw. human-centric approach czy poszanowanie praw podstawowych, w tym ludzkiej godności, autonomii człowieka czy przeciwdziałanie dyskryminacji. Technologia ta ma także służyć człowiekowi, a już na pewno nie ma na celu jego zastąpienie czy podejmowanie za niego decyzji. Ma służyć dla jego dobra. Pociąga to za sobą konieczność takiego tworzenia rozwiązań opartych o AI, które zapewniają zgodność nie tylko z zasadami etycznymi, ale wszelkimi przepisami prawa.

Drugi reżim ma z kolei odnosić się do tych rozwiązań, które wiążą się z wysokim ryzykiem (dla człowieka i społeczeństwa), czyli tych, które były już komunikowane w projekcie rozporządzenia w sprawie odpowiedzialności za nie (np. samouczące się algorytmy). Tutaj kluczowe dla Parlamentu jest zapewnienie odpowiedniego nadzoru człowieka oraz możliwości szybkiego wyłączenia AI.

Same przepisy mają odnosić się do szerokiego zakresu „przedmiotów”, bo w rezolucji wymienione mamy nie tylko same technologie, ale także oprogramowanie, algorytmy czy nawet dane użytkowane lub tworzone przez ww. technologie. Nie obejdzie się więc bez „zahaczenia” o Data Strategy oraz rewizję RODO. Na to zresztą wskazuje już sama rezolucja, w której znajdziemy stwierdzenie:

„[EP] notes that the opportunities based on artificial intelligence, robotics and related technologies rely on ‘Big Data’, with a need for a critical mass of data to train algorithms and refine results; welcomes in this regard the Commission’s proposal for the creation of a common data space in the Union to strengthen data exchange and support research in full respect of European data protection rules”

Dokładne przeanalizowanie ryzyk związanych z Big Data zostało także powierzone Komisji (UE), która, poza tym ma przyjrzeć się bliżej przejrzystości algorytmów czy ich „wyjaśnialności”. Ciekawe jest też to, że posłowie wskazali na konieczność ustalenia kryteriów i wskaźników, które mają umożliwić „etykietowanie” AI. Czyżby było to coś na kształt certyfikatów jakości lub ostrzeżeń przy produktach niebezpiecznych?

Chyba tak, bo rezolucja przewiduje coś takiego jak „European certification of ethical compliance”. Takie certyfikaty będą wydawane – prawdopodobnie – przez krajowe organy nadzoru (ciekawe które to będą organy – cyfryzacji, inspektor ochrony danych a może coś zupełnie nowego?) na wniosek np. twórcy rozwiązania. Zakładam, że ocenie będą podlegać m.in. elementy wskazane w liście do samooceny AI opracowanej przez Komisję. Ważne przy tym to, że Parlament skłania się ku temu, aby takie certyfikaty były obligatoryjne dla hi-risk AI wykorzystywanych dla celów publicznych.

Hmm…

Same przepisy mają być oczywiście proporcjonalne do rozwoju technologii. Nieco dziwne, choć pojawiające się już w dokumentach Komisji (UE) jest podkreślanie, że rozwiązania oparte o AI powinny przyczyniać się do zachowania pokoju, przeciwdziałaniu konfliktom oraz wspierania międzynarodowego bezpieczeństwa. Poza tym, że wydaje się oczywiste, że każda technologia powinna służyć tym celom, to czy nie jest to trochę zbyt daleko idący postulat? Jeżeli pojawi się to w „twardym prawie”, to jak wykazać, że spełnia się te kryteria?

Dalej jest jeszcze ciekawiej, bo mamy konieczność zapewnienia tzw. human agency (ok), ale także „democratic oversight” (?), które nie do końca zostało objaśnione.

Prywatność i biometria

To ciekawy wątek. Oczywiście mamy tutaj wyraźne podkreślenie, że ochrona prywatności i danych osobowych to podstawa. Mamy więc konieczność zapewnienia zgodności z RODO czy uwzględnienie zasady privacy by design przy tworzeniu rozwiązań opartych o AI, szczególnie tych wykorzystujących profilowanie. W odniesieniu do sektora publicznego pojawiła się też wyraźna wskazówka:

„when remote recognition technologies, such as recognition of biometric features, notably facial recognition, are used by public authorities, for substantial public interest purposes, their use should always be disclosed, proportionate, targeted and limited to specific objectives, restricted in time in accordance with Union law and have due regard for human dignity and autonomy and the fundamental rights set out in the Charter”

I ważne! Stosowanie takich rozwiązań przez organy państwowe powinno być ograniczone do tych sytuacji, gdzie jest jasne, że AI jest całkowicie “trustworthy”. Co ciekawe, Parlament podkreślił, że rozwój technologii AI nie powinien skutkować przekazaniem prawa do wydawania (autonomicznych) decyzji tym systemom, jeżeli dotyczy to istotnych aspektów prawa i obowiązków obywateli. Czyli wsparcie – tak, decyzyjność – nie. Trochę szkodą, trochę dobrze.

Dobre zarządzanie

Oczywista, oczywistość. Musimy zapewnić takie rozwiązania, które pozwalają na minimalizację ryzyk (w tym operacyjnych) oraz ustalenie zasad odpowiedzialności. W tym zakresie ma się pojawić rozporządzenie (tak zakładam). Parlament „powtarza” tutaj konieczność uwzględniania zasad ochrony danych czy niedyskryminacji, przejrzystości, bezpieczeństwa i kontroli, a także jakości danych. W rezolucji znajdziemy też „przypomnienie”, że outsourcing nie zwalnia z odpowiedzialności za dane (w szczególności będących w posiadaniu podmiotów publicznych).

Czy to wszystko?

Hell no. Rezolucja jest rozbudowana i odnosi się nawet do poszczególnych zagadnień “obszarowych” jak transport czy edukacja. Mamy też wskazówki co do zarządzania ryzykiem (raczej „standard” z RODO) czy ochrony prywatności i praw konsumentów. Jest tego sporo, ale w niektórych aspektach warto poczekać na konkretne propozycje. W kolejnej odsłonie odpowiedzialność cywilna.

Obrazek: https://images.app.goo.gl/nN552Kysc9L5mhit6

Flash News

Europejski Urząd Nadzoru Bankowego o platformach w sektorze finansowym. Idzie nowe, a chyba nie wszyscy są gotowi

Etyka i uprzedzenie, czyli algorytmy korporacji przewozowych w praktyce

Zmiany do Rozporządzenia 2015/847 w sprawie transferu środków są znaczące. Szczególnie dla fanów kryptoaktywów

Open Banking “pod” PSD2 nadal sprawia trudności. EBA publikuje kolejne wyjaśnienia

Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem rozwoju rynku finansowego oraz ochrony inwestorów na tym rynku

Wytyczne BaFin w sprawie sztucznej inteligencji dla sektora finansowego. Dobry przykład, dobre praktyki

Z kim pójdziesz na randkę? Czy algorytm zadecyduje za Ciebie?

To instytucje finansowe i dostawcy RegTech muszą “popracować nad sobą”, czyli raport EBA w sprawie rozwiązań RegTech. Są i rekomendacje

Emitent kryptoaktywów jest administratorem danych. Europejski Inspektor Ochrony Danych o projekcie w sprawie kryptoaktów (MICA)

EBA bierze się za obniżenie kosztów nadzorczych. Duży nacisk na technologię RegTech oraz SupTech