Operator odpowie za sztuczną inteligencję, czyli rezolucja Parlamentu Europejskiego w sprawie odpowiedzialności cywilnej za AI

Ostatnio pochyliliśmy się nad pierwszą z rezolucji Parlamentu Europejskiego w sprawie sztucznej inteligencji. Tematyka – etyczne aspekty AI – wywołała bardzo ciekawą dyskusję, również w kontekście odpowiedzialności za działanie algorytmu. Temu poświęcony będzie dzisiejszy artykuł, czyli rezolucji dot. odpowiedzialności cywilnej (więcej na temat wcześniejszych prac organów unijnych pod tym adresem). Wynika z niej (jak i pozostałych), że AI staje się czymś więcej niż tylko buzzwordem, a realnym rozwiązaniem wielu problemów, które dotykają nas jako społeczeństwo. W konsekwencji musimy stworzyć odpowiednie ramy prawne, które uwzględnią nowe ryzyka związane ze sztuczną inteligencją.

Na wstępie warto zaznaczyć, że rozmawiamy tutaj o sztucznej inteligencji, choć rozwiązań, które można w jakimś sensie zakwalifikować jako AI nie ma jeszcze tak wiele. Z drugiej strony prawo ma szansę – tym razem – wybiec w przyszłość i być gotowe na ewentualną technologiczną rewolucję (jakkolwiek w zakresie tego czy AI będzie kiedyś „inteligentna” zdania są podzielone). Niemniej jednak, nawet wykorzystując rozwiązania oparte o uczenie maszynowe, głębokie uczenie czy przetwarzanie języka naturalnego możemy znaleźć się w obszarze „zainteresowania” regulacji AI.

I słusznie niektórzy zauważają, że przy projektowaniu nowych regulacji musimy dobrze zastanowić się nad tym co konkretnie będziemy regulować, bo w przeciwnym razie albo będziemy szukali rozwiązań wykraczających poza te ramy, albo wprowadzone przepisy nie będą pełniły swojej roli.

Przechodząc do meritum

Ogólnie mamy „parcie” na harmonizację, co oznacza, że raczej nie ma co oczekiwać dyrektywy, a rozporządzenia (co wynika z samej rezolucji) i takich samych zasad dla wszystkich. To zmniejszy też ryzyko arbitrażu regulacyjnego, szczególnie wobec wykraczania usług poza granice jednej jurysdykcji.

Parlament Europejski zastrzega jednocześnie, że nie widzi potrzeby wprowadzania rewolucji w zakresie przepisów dot. odpowiedzialności za szkodę. W rezolucji znajdziemy wskazówkę, że prace powinny iść w kierunku doprecyzowania już istniejących rozwiązań, a więc – jak ja to widzę – dookreślenia kto i za co odpowiada. Przy tym wszystkim Parlament potwierdza „starą prawdę” – nie ma potrzeby przyznawania osobowości prawnej systemom opartym o AI. Dobrze czy nie? Znajdziemy zwolenników i jednego, i drugiego podejścia. Ja raczej popieram – na razie – ten kierunek.

Produkt niebezpieczny?

To tematyka, która pojawia się w wielu dokumentach, w tym w Białej Księdze AI. Parlament podkreślił, że obowiązujące przepisy w zakresie odpowiedzialności za produkt niebezpieczny są efektywne, choć musimy pomyśleć o rewizji, aby dostosować ten „reżim” do cyfrowych czasów i zwiększyć przejrzystość. Ważne jest jednak to, że Parlament chce, aby ewentualne zmiany nie doprowadziły do „wyhamowania” rozwoju AI. Sensowne jest także to, że Bruksela sugeruje, aby odpowiedzialność za product niebezpieczny była regulowana rozporządzeniem (ważne są kwestie dot. definicji, uszczerbku czy szkód, a nawet samego producenta – to szczególnie istotne w kontekście AI).

Jeżeli chodzi o odpowiedzialność to Parlament wskazał także, że obecnie obowiązujące przepisy w zakresie odpowiedzialności chronią nas także w przypadku działania osób trzecich, np. hakerów, choć jednocześnie w niektórych przypadkach – gdy jest niemożliwe wykrycie sprawcy – należy rozważyć rozwiązania „alternatywne”. Na pewnym poziomie ogólności można stwierdzić, że Parlament jako głównego „winnego” wskazuje operatora systemu AI, co jest wynikiem tego, że to on kontroluje ten system i jest „na pierwszej linii frontu”. I to wydaje się chyba ok. Przynajmniej na dziś.

Operator, operator…

To w ogóle brzydkie słowo, więc przyjmijmy, że chodzi o osobę wykorzystującą system AI, choć Parlament doprecyzowuje, że chodzi zarówno o sferę backendu (chyba, że wchodzimy w reżim produktu niebezpiecznego), jak i frontendu. Jej odpowiedzialność rozciąga się na wszystkie działania AI i niezależnie od tego czy „dzieją się” w wirtualu czy realu. Tematyką operatora zajmiemy się też w oddzielnym artykule, bo temat jest ciekawy i „technologiczny.

W przypadku więcej niż jednego operatora mamy odpowiedzialność solidarną – co do zasady – i proporcjonalną (to będzie ciekawe „ćwiczenie”). Tutaj widzę spore pole dla prawników kontraktowych, ale sugeruje to także, że umowy dot. AI mogą być „opasłymi” tomiszczami. Tym bardziej, że Parlament wskazuje na konieczność lepszego „product traceability”.

Różne poziomy odpowiedzialności

Czyli nawiązanie do propozycji rozporządzenia w sprawie hi-risk AI. W rezolucji mamy do tego wyraźne odniesienie – odmienny „reżim” odpowiedzialności dla systemów wysokiego ryzyka (autonomicznych). Mamy tutaj oczywiście risk-based approach i konieczność wskazania przez Komisję (UE) jasnych kryteriów i definicji. Parlament wskazuje też na konieczność uwzględnienia niektórych „typowych” sektorów, ale oczywiście systemy hi-risk mają być wyraźnie wskazane w załączniku do rozporządzenia.

Warto zwrócić uwagę na jeden fragment rezolucji:

„Commission should assess how the data collected, recorded or stored on high-risk AI-systems for the purposes of gathering evidence in case of harm or damage caused by that AI-system could be accessed and used by the investigating authority and how the traceability and auditability of such data could be improved, while taking into account fundamental and privacy rights”.

Zobaczymy co przyniesie przyszłość.

A na koniec

Ubezpieczenia. Parlament rekomenduje, aby dla hi-risk AI były obowiązkowe ubezpieczenia, natomiast krytycznie podchodzi do kwestii stworzenia publicznego funduszu rekompensat. Nie ma więc tutaj nic zaskakującego. Wydaje mi się, że i tak prędzej czy później rynek ubezpieczeń (nie tylko hi-risk AI) stworzy nowe produkty, choć ich wycena może być dużym wyzwaniem (nawet dla AI).

Flash News

Europejski Urząd Nadzoru Bankowego o platformach w sektorze finansowym. Idzie nowe, a chyba nie wszyscy są gotowi

Etyka i uprzedzenie, czyli algorytmy korporacji przewozowych w praktyce

Zmiany do Rozporządzenia 2015/847 w sprawie transferu środków są znaczące. Szczególnie dla fanów kryptoaktywów

Open Banking “pod” PSD2 nadal sprawia trudności. EBA publikuje kolejne wyjaśnienia

Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem rozwoju rynku finansowego oraz ochrony inwestorów na tym rynku

Wytyczne BaFin w sprawie sztucznej inteligencji dla sektora finansowego. Dobry przykład, dobre praktyki

Z kim pójdziesz na randkę? Czy algorytm zadecyduje za Ciebie?

To instytucje finansowe i dostawcy RegTech muszą “popracować nad sobą”, czyli raport EBA w sprawie rozwiązań RegTech. Są i rekomendacje

Emitent kryptoaktywów jest administratorem danych. Europejski Inspektor Ochrony Danych o projekcie w sprawie kryptoaktów (MICA)

EBA bierze się za obniżenie kosztów nadzorczych. Duży nacisk na technologię RegTech oraz SupTech